要想对Java项目生成的Jar包进行防反编译处理,一般有两种解决方案,一种是代码混淆,另一种是代码加密。
代码混淆对于单模块的项目来说还算比较简单,但现在的项目一般都有多个模块,一个模块依赖多个公众模块,这时使用代码混淆就比较麻烦了,配置复杂、文档难懂,各模块之间的调用在是否混淆时极其容易出错。代码混淆的解决方案是使用proguard-maven-plugin插件。
第二种方案:代码加密,就比代码混淆简单更多,直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。
配置pom
只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,该插件要放到spring-boot-maven-plugin插件后面,否则不起作用。
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
<plugin>
<!--
1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
-->
<groupId>net.roseboy</groupId>
<artifactId>classfinal-maven-plugin</artifactId>
<version>1.2.1</version>
<configuration>
<password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
<excludes>org.spring</excludes>
<packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
<cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
<libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
<code>xxxx</code> <!-- 指定机器启动,机器码 -->
</configuration>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>classFinal</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>启动方式
无密码启动
java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar有密码启动
java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar反编译的效果
- 反编译只能看到方法名和注解,看不到方法体的具体内容,主要兼容swagger文档注解扫描。
- META-INF文件夹配置文件被删除了
- lib目录下依赖的第三方包(配置文件中自己指定的),也被加密了
- 启动过程中解密class,完全内存解密,不留下任何解密后的文件
《如何对Jar包加密,从而防止反编译?》留言数:0