我要评论背景
当我们需要将 jar 包交付给第三方时,常常担心代码可能会被反编译。因此,对 jar 包进行混淆处理显得尤为重要。
市面上有许多 jar 包源码混淆工具,但真正能稳定投入使用的并不多。例如,classfinal (classfinal: java字节码加密工具)`是国内开发者开发的一款 jar 包加密工具,它采用的是字节码加密的方案。然而,classfinal (classfinal: java字节码加密工具)已经停止维护多年,并且它的使用需要额外提供一个加密包来解密,这种方式虽然注重安全性,但增加了使用的复杂性。由于 jvm 的跨平台特性,理想的工具应该是简洁、易于使用的,而不是增加额外的“挂件”来进行保护。
另一款常用的工具是 proguard(github - guardsquare/proguard: proguard, java optimizer and obfuscator),它是一款开源的 java 代码混淆工具。准确来说是一个插件,不需要对他进行编码,只需要进行配置即可。代码混淆,并不是把所有代码进行混淆,这样反而会出错,比如枚举类型如果也进行混淆,那么在使用反射创建实例,并给实例赋值的时候,枚举类型会反序列化失败。proguard 的主要功能是在不影响程序功能的前提下,混淆 jar 包内的源码,通过增加代码的混乱程度,使得反编译后的代码可读性大大降低,从而有效地提高了代码的安全性。对于第三方来说,反编译后的代码难以理解,与其花费大量时间研究,可能更倾向于重新开发实现。因此,从这个角度来看,proguard 确实可以满足一定的代码安全性需求。proguard提供了可以对哪些包,类,方法等不进行混淆的配置,我们可以将枚举配置在这里。
然而,需要注意的是,proguard 是一款通用的 java 代码混淆工具,并非针对 spring 框架的专用工具。因此,它对 spring 相关的注解并没有特殊的处理。这意味着在使用 proguard 混淆 spring boot 应用时,开发者可能需要进行额外的配置和定制,这对不熟悉该工具的开发者来说增加了使用难度和成本。
实现流程
springboot提供了打包插件spring-boot-maven-plugin,所以我们的混淆需要在springboot打包的插件之前,就是我们要对混淆之后的代码通过spring-boot-maven-plugin进行打包。
proguard核心内容是两个配置文件,一个pom.xml、一个proguard.cfg,这里提供最关键的两个能够直接使用的配置文件内容,其余的配置相关描述可以通过文末的参考文献获取。
- proguard.cfg配置示例
# 指定不警告尚未解决的引用和其他问题
-dontwarn
#指定java的版本
-target 1.8
#proguard会对代码进行优化压缩,他会删除从未使用的类或者类成员变量等(删除注释、未被引用代码)
-dontshrink
#是否关闭字节码级别的优化,如果不开启则设置如下配置 不做优化(变更代码实现逻辑)
-dontoptimize
#混淆时不生成大小写混合的类名,默认是可以大小写混合
-dontusemixedcaseclassnames
# 不去忽略非公共的库类
-dontskipnonpubliclibraryclasses
# 指定不跳过包可见的库类成员(字段和方法)。
# 默认情况下,proguard在解析库类时会跳过包可见的库类成员。当我们确实引用了包可见的类成员时,需要设置此项
-dontskipnonpubliclibraryclassmembers
# 对于类成员的命名的混淆采取唯一策略
-useuniqueclassmembernames
# 优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodificatio
# 不混淆所有包名
#-keeppackagename
#混淆类名之后,对使用class.forname('classname')之类的地方进行相应替代
-adaptclassstrings
#保持目录结构
-keepdirectories
#对异常、注解信息予以保留
-keepattributes exceptions,innerclasses,signature,deprecated,sourcefile,linenumbertable,*annotation*,enclosingmethod,qualifier
# 此选项将保存接口中的所有原始名称(不混淆)-->
#-keepnames interface ** { *; }
#混淆时是否记录日志
#-verbose
# 此选项将保存所有软件包中的所有原始接口文件(不进行混淆)
#-keep interface * extends * { *; }
#保留参数名,因为控制器,或者mybatis等接口的参数如果混淆会导致无法接受参数,xml文件找不到参数
-keepparameternames
# 保留枚举成员及方法
#-keepclassmembers enum * { *; }
# 不混淆所有类,保存原始定义的注释-
-keepclassmembers class * {
@org.springframework.context.annotation.bean *;
@org.springframework.context.annotation.bean *;
@org.springframework.beans.factory.annotation.autowired *;
@org.springframework.beans.factory.annotation.value *;
@org.springframework.stereotype.service *;
@org.springframework.stereotype.component *;
@org.springframework.transaction.annotation.proxytransactionmanagementconfiguration *;
@org.springframework.boot.context.properties.configurationproperties *;
@org.springframework.web.bind.annotation.restcontroller *;
@org.springframework.beans.factory.annotation.qualifier *;
@io.swagger.annotations.apiparam *;
@org.springframework.validation.annotation.validated *;
@io.swagger.annotations.apimodelproperty *;
@javax.validation.constraints.notnull *;
@javax.validation.constraints.size *;
@javax.validation.constraints.notblank *;
@javax.validation.constraints.pattern *;
}
-keep class org.springframework.** {*;}
-keep public class ch.qos.logback.**{*;}
-keep class com.fasterxml.jackson.** { *; }
#忽略warn消息
-ignorewarnings
#打印配置信息
-printconfiguration
#入口程序类不能混淆,混淆会导致springboot启动不了
-keep public class com.zhubayi.proguarddemo.proguarddemoapplication { *;}
#mybatis的mapper/实体类不混淆,否则会导致xml配置的mapper找不到 ( 保持该目录下所有类及其成员不被混淆)
#-keep class com.zhubayi.proguarddemo.mapper.** {*;}
# 实体类,枚举方法不能混淆
#-keep class com.zhubayi.proguarddemo.enums.** {*;}
-keep class com.zhubayi.proguarddemo.entity.** {*;}
#controller不进行混淆
-keep class com.zhubayi.proguarddemo.controller.** {*;}
# 保留特定框架或库的类,注解类
#-keep class com.zhubayi.proguarddemo.elasticsearch.** { *; }
#-keep class com.zhubayi.proguarddemo.annotation.** {*;}
#还有一些配置类和bean不能混淆 比如logpointcut prefix 这些 @pointcut @configurationproperties(prefix = "redisson")
#-keep class com.zhubayi.proguarddemo.aspectj.** {*;}
# 全放开
#-keep class com.ugdsec.** {*;}
#保留serializable序列化的类不被混淆
# controller 层映射前台参数的类、后端返回的 bean 属性类等,不能混淆类的成员属性(如变成 string a;)
-keepclassmembers class * implements java.io.serializable {*;}
# 不混淆所有的set/get方法
#-keepclassmembers public class * {void set*(***);*** get*();}
- pom.xml配置示例 (注意:它必须要放到spring-boot-maven-plugin上面)
<build>
<plugins>
<plugin>
<groupid>com.github.wvengen</groupid>
<artifactid>proguard-maven-plugin</artifactid>
<version>2.6.0</version>
<executions>
<!-- 以下配置说明执行mvn的package命令时候,会执行proguard-->
<execution>
<phase>package</phase>
<goals>
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否混淆 默认是true -->
<obfuscate>true</obfuscate>
<!-- 防止本地编译的时候路径太长编译失败-->
<putlibraryjarsintempdir>true</putlibraryjarsintempdir>
<!-- 就是输入jar的名称,我们要知道,代码混淆其实是将一个原始的jar,生成一个混淆后的jar,那么就会有输入输出。 -->
<injar>${project.build.finalname}.jar</injar>
<!-- 输出jar名称,输入输出jar同名的时候就是覆盖,也是比较常用的配置。 -->
<outjar>${project.build.finalname}.jar</outjar>
<!-- 配置一个文件,通常叫做proguard.cfg,该文件主要是配置options选项,也就是说使用proguard.cfg那么options下的所有内容都可以移到proguard.cfg中 -->
<proguardinclude>${project.basedir}/proguard.cfg</proguardinclude>
<!-- 额外的jar包,通常是项目编译所需要的jar -->
<libs>
<lib>${java.home}/lib/rt.jar</lib>
<lib>${java.home}/lib/jce.jar</lib>
<lib>${java.home}/lib/jsse.jar</lib>
</libs>
<!-- 对输入jar进行过滤比如,如下配置就是对meta-info文件不处理。 -->
<!-- <inlibsfilter>!meta-inf/**,!meta-inf/versions/9/**.class</inlibsfilter>-->
<!-- 这是输出路径配置,但是要注意这个路径必须要包括injar标签填写的jar -->
<outputdirectory>${project.basedir}/target</outputdirectory>
<!--这里特别重要,此处主要是配置混淆的一些细节选项,比如哪些类不需要混淆,哪些需要混淆-->
<options>
<!-- 可以在这里写option标签配置,不过我上面使用了proguardinclude,所以可以在proguard.cfg中配置 -->
<!--jdk8-->
<!--<option>-target 1.8</option>-->
<!-- 不做收缩(删除注释、未被引用代码)-->
<!--<option>-dontshrink</option>-->
<!-- 不做优化(变更代码实现逻辑)-->
<!--<option>-dontoptimize</option>-->
<!-- 不路过非公用类文件及成员-->
<!--<option>-dontskipnonpubliclibraryclasses</option>-->
<!--<option>-dontskipnonpubliclibraryclassmembers</option>-->
<!--不用大小写混合类名机制-->
<!--<option>-dontusemixedcaseclassnames</option>-->
</options>
<!--子模块-->
<assembly>
<inclusions>
<!--<inclusion>-->
<!-- <groupid>com.zhubayi</groupid>-->
<!-- <artifactid>chen-system</artifactid>-->
<!--</inclusion>-->
</inclusions>
</assembly>
</configuration>
<dependencies>
<dependency>
<groupid>com.guardsquare</groupid>
<artifactid>proguard-base</artifactid>
<version>7.1.1</version>
<scope>runtime</scope>
</dependency>
<!--<dependency>-->
<!-- <groupid>com.guardsquare</groupid>-->
<!-- <artifactid>proguard-core</artifactid>-->
<!-- <version>7.1.1</version>-->
<!-- <scope>runtime</scope>-->
<!--</dependency>-->
</dependencies>
</plugin>
<!-- proguard 代码混淆配置 结束-->
<plugin>
<groupid>org.springframework.boot</groupid>
<artifactid>spring-boot-maven-plugin</artifactid>
<configuration>
<!-- 如果没有该配置,devtools不会生效 -->
<fork>true</fork>
<mainclass>com.zhubayi.proguarddemo.proguarddemoapplication</mainclass>
<!--<excludegroupids>com.zhubayi</excludegroupids>-->
</configuration>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>注意:
<proguardinclude>${project.basedir}/proguard.cfg</proguardinclude>${project.basedir}/proguard.cfg表示当前项目的根目录,所以需要把proguard.cfg放在当前项目的根目录
然后进行打包
打包之后会多出三个文件
<!-- 就是输入jar的名称,我们要知道,代码混淆其实是将一个原始的jar,生成一个混淆后的jar,那么就会有输入输出。 -->
<injar>${project.build.finalname}.jar</injar>
<!-- 输出jar名称,输入输出jar同名的时候就是覆盖,也是比较常用的配置。 -->
<outjar>${project.build.finalname}.jar</outjar>从pom打包配置可以得到,proguard-demo-0.0.1-snapshot.jar,就是项目混淆后的jar包。
而proguard-demo-0.0.1-snapshot_proguard_base.jar就是正常的包,没有进行混淆。
反编译查看
下载反编译工具 jd-gui
打开然后选择刚刚的混淆jar包
这里面对springboot相关的都进行过过滤,所以剩下的都是和springboot无关的类, entity包、主启动类和controller包配置没有进行混淆,所以还是原来的名字,其他都进行了混淆,类名称都直接缩写成了小写字母a,b,c…
启动测试
d:\ideaprojects\mytools\proguard-demo\target>java -jar proguard-demo-0.0.1-snapshot.jar
. ____ _ __ _ _
/\\ / ___'_ __ _ _(_)_ __ __ _ \ \ \ \
( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \
\\/ ___)| |_)| | | | | || (_| | ) ) ) )
' |____| .__|_| |_|_| |_\__, | / / / /
=========|_|==============|___/=/_/_/_/
:: spring boot :: (v2.3.12.release)2024-08-09 10:45:52.197 info 18600 --- [ main] c.z.p.proguarddemoapplication : starting proguarddemoapplication v0.0.1-snapshot on zhubayi-computer with pid 18600 (d:\ideaprojects\mytools\proguard-demo\target\proguard-demo-0.0.1-snapshot.jar started by zhubayi in d:\ideaprojects\mytools\proguard-demo\target)
2024-08-09 10:45:52.199 info 18600 --- [ main] c.z.p.proguarddemoapplication : no active profile set, falling back to default profiles: default
2024-08-09 10:45:53.664 info 18600 --- [ main] o.s.b.w.embedded.tomcat.tomcatwebserver : tomcat initialized with port(s): 8080 (http)
2024-08-09 10:45:53.674 info 18600 --- [ main] o.apache.catalina.core.standardservice : starting service [tomcat]
2024-08-09 10:45:53.675 info 18600 --- [ main] org.apache.catalina.core.standardengine : starting servlet engine: [apache tomcat/9.0.46]
2024-08-09 10:45:53.730 info 18600 --- [ main] o.a.c.c.c.[tomcat].[localhost].[/] : initializing spring embedded webapplicationcontext
2024-08-09 10:45:53.730 info 18600 --- [ main] w.s.c.servletwebserverapplicationcontext : root webapplicationcontext: initialization completed in 1488 ms
2024-08-09 10:45:53.887 info 18600 --- [ main] o.s.s.concurrent.threadpooltaskexecutor : initializing executorservice 'applicationtaskexecutor'
2024-08-09 10:45:54.028 info 18600 --- [ main] o.s.b.w.embedded.tomcat.tomcatwebserver : tomcat started on port(s): 8080 (http) with context path ''
2024-08-09 10:45:54.035 info 18600 --- [ main] c.z.p.proguarddemoapplication : started proguarddemoapplication in 2.143 seconds (jvm running for 2.561)
成功获取到了数据。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。
发表评论