devbox
寸_铁
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot项目Jar包加密,防止反编译

作者:寸_铁 | 2024-07-11 11:59:14

SpringBoot项目Jar包加密,防止反编译

场景

最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来。

方案

第一种方案使用代码混淆

采用proguard-maven-plugin插件

在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。

第二种方案使用代码加密

采用classfinal-maven-plugin插件

此方案比对上面的方案来说,就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

ClassFinal项目源码地址[1]

项目操作

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

  1.     <build>
  2.         <plugins>
  3.             <plugin>
  4.                 <groupId>org.springframework.boot</groupId>
  5.                 <artifactId>spring-boot-maven-plugin</artifactId>
  6.             </plugin>
  7.             <plugin>
  8.                 
  9.                     1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
  10.                     2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
  11.                     3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
  12.                     4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
  13.                     5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
  14.                     6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
  15.                 -->
  16.                 <groupId>net.roseboy</groupId>
  17.                 <artifactId>classfinal-maven-plugin</artifactId>
  18.                 <version>1.2.1</version>
  19.                 <configuration>
  20.                     <password>#</password>
  21.                     <excludes>org.spring</excludes>
  22.                     <packages>${groupId}</packages>
  23.                     <cfgfiles>application.yml,application-dev.yml</cfgfiles>
  24.                     <libjars>hutool-all.jar</libjars> 
  25.                     <code>xxxx</code> 
  26.                 </configuration>
  27.                 <executions>
  28.                     <execution>
  29.                         <phase>package</phase>
  30.                         <goals>
  31.                             <goal>classFinal</goal>
  32.                         </goals>
  33.                     </execution>
  34.                 </executions>
  35.             </plugin>
  36.         </plugins>
  37.  
  38.     </build>
  39.  
  40.

启动方式

无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

反编译效果

启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描

反编译只能看到方法名和注解,看不到方法体的具体内容

启动过程中解密class,完全内存解密,不留下任何解密后的文件

yml配置文件留下空白

绑定机器启动

下载到classfinal-fatjar-1.2.1.jar[2]依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码

将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

参考资料

[1]

https://gitee.com/roseboy/classfinal.git: https://link.juejin.cn/?target=https%3A%2F%2Fgitee.com%2Froseboy%2Fclassfinal.git

[2]

https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar: https://link.juejin.cn/?target=https%3A%2F%2Frepo1.maven.org%2Fmaven2%2Fnet%2Froseboy%2Fclassfinal-fatjar%2F1.2.1%2Fclassfinal-fatjar-1.2.1.jar

本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/寸_铁/article/detail/810241
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号