当前位置:   article > 正文

Maven WEB 项目使用ProGuard进行混淆,最佳解决方案_java mavenproguard混淆插件 混淆war包方案

java mavenproguard混淆插件 混淆war包方案

Maven WEB 项目使用ProGuard进行混淆,最佳解决方案

近期公司的Android项目做了混淆,虽说对于保护代码并不是100%的,但混淆后的代码可以使那些不法份子难以阅读,这样也能对代码的保护做出贡献。 
于是,公司写的一大堆WEB项目也想做保护。但几大问题随之而来:

  • 公司的所有项目全部是Maven项目,网上的混淆方案不是陈旧就是无效
  • 网上的大部分解决方案感觉像是对简单DEMO进行混淆,根本不能用于复杂的WEB项目中
  • 网上的大部分解决方案是针对Android项目的,针对WEB的少之又少

针对以上问题,本人花费一个月研究了WEB+Maven项目的混淆,终于收获果实,解决了这一大空缺难题。

项目介绍

就如之前所述,我们要混淆的项目绝不是一个简单的WEB DEMO,必须要包含了大量第三方框架。 
本文中介绍的项目使用了主流的一些框架:

  • Spring 4.1.1.RELEASE
  • SpringMVC 4.1.1.RELEASE
  • JackSon 2.5.0
  • MyBatis 3.3.0
  • Shiro 1.2.3
  • Log4J 1.2.17
  • SLF4J 1.7.10
  • Druid Pool 1.0.15
  • patchca 1.0.0
  • Jetty 9.2.7.v20150116

项目包结构

包结构

该项目是典型的Maven WEB项目,对于Maven WEB项目的结构不再赘述,这里对各种包做一下解释:

  • annotation 注解包,里面是自己写的注解类,主要混淆对象
  • controller SpringMVC的控制器包,主要混淆对象
  • credntials Shiro的自定义凭证,次要混淆对象
  • dao DAO包,主要混淆对象
  • exception 异常包,自定义了一些异常,主要混淆对象
  • filter Shiro的自定义过滤器,次要混淆对象
  • interceptor Shiro的自定义拦截器,次要混淆对象
  • job SpringTASK的定时任务包,次要混淆对象
  • mapper Mybatis的XML映射文件包,非混淆对象
  • model 实体包,非混淆对象
  • realm Shiro的自定义域包,次要混淆对象
  • service 实体的服务包,次要混淆对象
  • token Shiro的自定义令牌包,次要混淆对象
  • utils 公司自己的工具类,主要混淆对象

主要混淆对象 对类的名称、属性、方法名都进行混淆 
次要混淆对象 对类的名称不混淆,类的属性、方法名选择性混淆 
非混淆对象 不进行混淆,混淆后可能出现异常

Maven 配置(pom.xml)

本文的重头戏,使用Maven集成的ProGuard插件,混淆配置不用单独建立文件

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0"
  3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  4. xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  5. <modelVersion>4.0.0</modelVersion>
  6. <packaging>war</packaging>
  7. <groupId>...</groupId>
  8. <artifactId>zhukun.shiro-spring</artifactId>
  9. <version>1.0-SNAPSHOT</version>
  10. <!-- 属性-->
  11. <properties>
  12. <!-- 项目编码-->
  13. <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
  14. <!-- 单元测试包-->
  15. <junit.version>4.12</junit.version>
  16. <!-- JAVAEE支持包-->
  17. <jstl.version>1.2</jstl.version>
  18. <servlet.version>3.1.0</servlet.version>
  19. <!-- 日志包-->
  20. <log4j.version>1.2.17</log4j.version>
  21. <slf4j.version>1.7.10</slf4j.version>
  22. <aspectj.version>1.6.12</aspectj.version>
  23. <!-- commons支持-->
  24. <commons-logging.version>1.1.3</commons-logging.version>
  25. <commons-collections.version>3.2.1</commons-collections.version>
  26. <commons-fileupload.version>1.3.1</commons-fileupload.version>
  27. <!-- shiro安全框架-->
  28. <shiro.version>1.2.3</shiro.version>
  29. <!-- druid连接池-->
  30. <druid.version>1.0.15</druid.version>
  31. <!-- 数据库及数据库框架-->
  32. <mysql.version>5.1.30</mysql.version>
  33. <mybatis.version>3.3.0</mybatis.version>
  34. <mybatis-spring.version>1.2.3</mybatis-spring.version>
  35. <!-- Mybatis分页插件-->
  36. <mybatis-paginator.version>1.2.16</mybatis-paginator.version>
  37. <!-- Mybatis生成器插件-->
  38. <mybatis-generator.version>1.3.2</mybatis-generator.version>
  39. <!-- Spring及SpringMVC支持包-->
  40. <spring.version>4.1.1.RELEASE</spring.version>
  41. <jackson.version>2.5.0</jackson.version>
  42. <!-- 验证码支持包-->
  43. <patchca.version>1.0.0</patchca.version>
  44. <!-- Jetty插件-->
  45. <jetty.version>9.2.7.v20150116</jetty.version>
  46. <!-- Maven编译插件-->
  47. <maven-compiler.version>2.3.2</maven-compiler.version>
  48. </properties>
  49. <dependencies>
  50. <dependency>
  51. <groupId>junit</groupId>
  52. <artifactId>junit</artifactId>
  53. <version>${junit.version}</version>
  54. </dependency>
  55. <dependency>
  56. <groupId>javax.servlet</groupId>
  57. <artifactId>jstl</artifactId>
  58. <version>${jstl.version}</version>
  59. </dependency>
  60. <dependency>
  61. <groupId>log4j</groupId>
  62. <artifactId>log4j</artifactId>
  63. <version>${log4j.version}</version>
  64. </dependency>
  65. <dependency>
  66. <groupId>org.aspectj</groupId>
  67. <artifactId>aspectjweaver</artifactId>
  68. <version>${aspectj.version}</version>
  69. </dependency>
  70. <dependency>
  71. <groupId>org.slf4j</groupId>
  72. <artifactId>slf4j-log4j12</artifactId>
  73. <version>${slf4j.version}</version>
  74. </dependency>
  75. <dependency>
  76. <groupId>commons-logging</groupId>
  77. <artifactId>commons-logging</artifactId>
  78. <version>${commons-logging.version}</version>
  79. </dependency>
  80. <dependency>
  81. <groupId>org.apache.shiro</groupId>
  82. <artifactId>shiro-core</artifactId>
  83. <version>${shiro.version}</version>
  84. </dependency>
  85. <dependency>
  86. <groupId>org.apache.shiro</groupId>
  87. <artifactId>shiro-web</artifactId>
  88. <version>${shiro.version}</version>
  89. </dependency>
  90. <dependency>
  91. <groupId>org.apache.shiro</groupId>
  92. <artifactId>shiro-spring</artifactId>
  93. <version>${shiro.version}</version>
  94. </dependency>
  95. <dependency>
  96. <groupId>org.apache.shiro</groupId>
  97. <artifactId>shiro-ehcache</artifactId>
  98. <version>${shiro.version}</version>
  99. </dependency>
  100. <dependency>
  101. <groupId>org.apache.shiro</groupId>
  102. <artifactId>shiro-quartz</artifactId>
  103. <version>${shiro.version}</version>
  104. </dependency>
  105. <dependency>
  106. <groupId>commons-collections</groupId>
  107. <artifactId>commons-collections</artifactId>
  108. <version>${commons-collections.version}</version>
  109. </dependency>
  110. <dependency>
  111. <groupId>mysql</groupId>
  112. <artifactId>mysql-connector-java</artifactId>
  113. <version>${mysql.version}</version>
  114. </dependency>
  115. <dependency>
  116. <groupId>com.alibaba</groupId>
  117. <artifactId>druid</artifactId>
  118. <version>${druid.version}</version>
  119. </dependency>
  120. <dependency>
  121. <groupId>javax.servlet</groupId>
  122. <artifactId>javax.servlet-api</artifactId>
  123. <version>${servlet.version}</version>
  124. </dependency>
  125. <dependency>
  126. <groupId>commons-fileupload</groupId>
  127. <artifactId>commons-fileupload</artifactId>
  128. <version>${commons-fileupload.version}</version>
  129. </dependency>
  130. <dependency>
  131. <groupId>org.mybatis</groupId>
  132. <artifactId>mybatis</artifactId>
  133. <version>${mybatis.version}</version>
  134. </dependency>
  135. <dependency>
  136. <groupId>org.mybatis</groupId>
  137. <artifactId>mybatis-spring</artifactId>
  138. <version>${mybatis-spring.version}</version>
  139. </dependency>
  140. <dependency>
  141. <groupId>com.github.miemiedev</groupId>
  142. <artifactId>mybatis-paginator</artifactId>
  143. <version>${mybatis-paginator.version}</version>
  144. </dependency>
  145. <dependency>
  146. <groupId>com.fasterxml.jackson.core</groupId>
  147. <artifactId>jackson-core</artifactId>
  148. <version>${jackson.version}</version>
  149. </dependency>
  150. <dependency>
  151. <groupId>com.fasterxml.jackson.core</groupId>
  152. <artifactId>jackson-databind</artifactId>
  153. <version>${jackson.version}</version>
  154. </dependency>
  155. <dependency>
  156. <groupId>com.fasterxml.jackson.core</groupId>
  157. <artifactId>jackson-annotations</artifactId>
  158. <version>${jackson.version}</version>
  159. </dependency>
  160. <dependency>
  161. <groupId>org.springframework</groupId>
  162. <artifactId>spring-core</artifactId>
  163. <version>${spring.version}</version>
  164. </dependency>
  165. <dependency>
  166. <groupId>org.springframework</groupId>
  167. <artifactId>spring-webmvc</artifactId>
  168. <version>${spring.version}</version>
  169. </dependency>
  170. <dependency>
  171. <groupId>org.springframework</groupId>
  172. <artifactId>spring-context-support</artifactId>
  173. <version>${spring.version}</version>
  174. </dependency>
  175. <dependency>
  176. <groupId>org.springframework</groupId>
  177. <artifactId>spring-orm</artifactId>
  178. <version>${spring.version}</version>
  179. </dependency>
  180. <dependency>
  181. <groupId>org.springframework</groupId>
  182. <artifactId>spring-test</artifactId>
  183. <version>${spring.version}</version>
  184. <scope>test</scope>
  185. </dependency>
  186. <dependency>
  187. <groupId>org.patchca</groupId>
  188. <artifactId>patchca</artifactId>
  189. <version>${patchca.version}</version>
  190. </dependency>
  191. </dependencies>
  192. <build>
  193. <finalName>shiro-spring</finalName>
  194. <!--使Maven打包时能打包src目录下的XML文件-->
  195. <resources>
  196. <resource>
  197. <directory>src/main/java</directory>
  198. <includes>
  199. <include>**/*.xml</include>
  200. </includes>
  201. </resource>
  202. <resource>
  203. <directory>src/main/resources</directory>
  204. </resource>
  205. </resources>
  206. <plugins>
  207. <plugin>
  208. <groupId>org.apache.maven.plugins</groupId>
  209. <artifactId>maven-compiler-plugin</artifactId>
  210. <version>${maven-compiler.version}</version>
  211. <configuration>
  212. <source>1.7</source>
  213. <target>1.7</target>
  214. <encoding>UTF-8</encoding>
  215. </configuration>
  216. </plugin>
  217. <plugin>
  218. <groupId>org.eclipse.jetty</groupId>
  219. <artifactId>jetty-maven-plugin</artifactId>
  220. <version>${jetty.version}</version>
  221. <configuration>
  222. <webApp>
  223. <contextPath>/shiro-spring</contextPath>
  224. </webApp>
  225. <httpConnector>
  226. <!-- 设置端口-->
  227. <port>8080</port>
  228. </httpConnector>
  229. </configuration>
  230. </plugin>
  231. <!-- MyBatis自动生成Mapper插件-->
  232. <plugin>
  233. <groupId>org.mybatis.generator</groupId>
  234. <artifactId>mybatis-generator-maven-plugin</artifactId>
  235. <version>${mybatis-generator.version}</version>
  236. <configuration>
  237. <verbose>true</verbose>
  238. <overwrite>true</overwrite>
  239. </configuration>
  240. </plugin>
  241. <!-- ProGuard混淆插件-->
  242. <plugin>
  243. <groupId>com.github.wvengen</groupId>
  244. <artifactId>proguard-maven-plugin</artifactId>
  245. <version>2.0.11</version>
  246. <executions>
  247. <execution>
  248. <!-- 混淆时刻,这里是打包的时候混淆-->
  249. <phase>package</phase>
  250. <goals>
  251. <!-- 使用插件的什么功能,当然是混淆-->
  252. <goal>proguard</goal>
  253. </goals>
  254. </execution>
  255. </executions>
  256. <configuration>
  257. <!-- 是否将生成的PG文件安装部署-->
  258. <attach>true</attach>
  259. <!-- 是否混淆-->
  260. <obfuscate>true</obfuscate>
  261. <!-- 指定生成文件分类 -->
  262. <attachArtifactClassifier>pg</attachArtifactClassifier>
  263. <options>
  264. <!-- JDK目标版本1.7-->
  265. <option>-target 1.7</option>
  266. <!-- 不做收缩(删除注释、未被引用代码)-->
  267. <option>-dontshrink</option>
  268. <!-- 不做优化(变更代码实现逻辑)-->
  269. <option>-dontoptimize</option>
  270. <!-- 不路过非公用类文件及成员-->
  271. <option>-dontskipnonpubliclibraryclasses</option>
  272. <option>-dontskipnonpubliclibraryclassmembers</option>
  273. <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
  274. <option>-allowaccessmodification</option>
  275. <!-- 确定统一的混淆类的成员名称来增加混淆-->
  276. <option>-useuniqueclassmembernames</option>
  277. <!-- 不混淆所有包名,本人测试混淆后WEB项目问题实在太多,毕竟Spring配置中有大量固定写法的包名-->
  278. <option>-keeppackagenames</option>
  279. <!-- 不混淆所有特殊的类-->
  280. <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
  281. <!-- 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射-->
  282. <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
  283. <!-- 不混淆job包下的所有类名,且类中的方法也不混淆-->
  284. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.job.** { &lt;methods&gt;; }</option>
  285. <!-- 不混淆filter包下的所有类名,这里主要是对Shiro的路踢人过滤器混淆,对类的属性和方法进行了混淆-->
  286. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.filter.** </option>
  287. <!-- 不混淆凭证包下的所有类名,但对类中的属性、方法进行混淆,原因是Spring配置中用到了这个类名-->
  288. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.credntials.** </option>
  289. <!-- 混淆目的同上,这个是拦截器的包,包中有防止重复提交的拦截器-->
  290. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.interceptor.** </option>
  291. <!-- 混淆目的同上,这个是域包,包中有用户登录域-->
  292. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.realm.** </option>
  293. <!-- 不混淆model包中的所有类以及类的属性及方法,实体包,混淆了会导致ORM框架及前端无法识别-->
  294. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.model.** {*;}</option>
  295. <!-- 以下两个包因为大部分是Spring管理的Bean,不对包类的类名进行混淆,但对类中的属性和方法混淆-->
  296. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.service.** </option>
  297. <option>-keep class com.chinatelecom.gz.wy.zhukun.shiro_spring.dao.**</option>
  298. </options>
  299. <outjar>${project.build.finalName}-pg.jar</outjar>
  300. <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
  301. <libs>
  302. <lib>${java.home}/lib/rt.jar</lib>
  303. </libs>
  304. <!-- 加载文件的过滤器,就是你的工程目录了-->
  305. <inFilter>com/chinatelecom/gz/wy/zhukun/shiro_spring/**</inFilter>
  306. <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
  307. <injar>classes</injar>
  308. <!-- 输出目录-->
  309. <outputDirectory>${project.build.directory}</outputDirectory>
  310. </configuration>
  311. </plugin>
  312. </plugins>
  313. </build>
  314. </project>

以上代码中的注释足够各位参考了,若有问题欢迎留言

执行

clean package -DskipTests

使用Maven运行以上代码,执行完成后在target目录中会生成三个文件:

混淆生成的文件

  • classes-pg.jar 混淆后的classes文件,里面包含完整的项目结构
  • proguard_map.txt 混淆内容的映射
  • proguard_seed.txt 参与混淆的类

混淆完成后,将classes-pg.jar解压到应用服务器覆盖原有的classes文件,通常目录为

X:\jetty9或tomcat7\webapps\shiro-spring\WEB-INF\classes

运行服务,项目运行正常

反编译

既然是混淆了的代码,那我们现在作为盗码者来反编译一下classes文件

反编译

可以看出,混淆成功了,盗码者读起来不是一二般的痛苦,我们的目的已经达到

遗留问题

  1. 虽然混淆是在Maven打包的时候进行,但是生成的war包及classes目录并未混淆,还需要将jar包中的内容提取,比较麻烦,不知道有没有让生成的war包就是已经混淆的办法。
  2. 本人的JAVA环境是JDK1.7 64位,其它的JDK并未尝试
  3. 不能对Spring等配置文件混淆,这样包结构还是存在,减弱了盗码者的读码难度

最后

欢迎大家讨论更加的代码保护方案,代码是我们辛苦的成果,绝不让他人非法盗取。当然,本文在非本人的同意下也禁止盗用,转载的话说明出处,谢谢合作!

注:本文中提到的项目源码为商业机密,恕不提供,谢谢!

https://blog.csdn.net/wltj920/article/details/48970869

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
  

闽ICP备14008679号