正文

微服务实战spring cloud alibaba(十九)代码混淆

Rae
Rae V管理员 /0 评论 /681 阅读
0314

大家应该还记得,我们的代码一般编写好了之后,直接mvn install打成jar包之后就放到生产环境去使用了。但是想象一下,这个打包的jar包里面的class是可以完全的被反编译成完整的源码的,如果是ToB或者ToG的项目,有的客户拿着这个包就可以完整的重现整个代码,这是不是不安全?所以在java领域就会有一个代码混淆的概念,也就是我们把正常的代码混淆成a,b,c这种替代,整体上来说反编译看到的代码就是这样:

image.png

這樣子是不是极大的增加了翻一遍的难度。所以作为一个成熟的java开发人员,代码混淆这个功能是必备的。在企业里面我们也应该做硬性要求上线的代码必须做代码混淆。

下面我们演示下如何做代码混淆。

一、在项目的根目录下创建一个proguard.cfg文件

这里的话,我们直接在根目录下创建这个文件即可,然后把下面的内容复制到这个文件里面去

#指定Java的版本
-target 1.8
#proguard会对代码进行优化压缩,他会删除从未使用的类或者类成员变量等
-dontshrink
#是否关闭字节码级别的优化,如果不开启则设置如下配置
-dontoptimize
#混淆时不生成大小写混合的类名,默认是可以大小写混合
-dontusemixedcaseclassnames
# 对于类成员的命名的混淆采取唯一策略
-useuniqueclassmembernames
#混淆时不生成大小写混合的类名,默认是可以大小写混合
-dontusemixedcaseclassnames
#混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代
-adaptclassstrings
 
#对异常、注解信息予以保留
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod
# 此选项将保存接口中的所有原始名称(不混淆)-->
-keepnames interface ** { *; }
# 此选项将保存所有软件包中的所有原始接口文件(不进行混淆)
#-keep interface * extends * { *; }
#保留参数名,因为控制器,或者Mybatis等接口的参数如果混淆会导致无法接受参数,xml文件找不到参数
-keepparameternames
# 保留枚举成员及方法
-keepclassmembers enum * { *; }
# 不混淆所有类,保存原始定义的注释-
-keepclassmembers class * {
                        @org.springframework.context.annotation.Bean *;
                        @org.springframework.beans.factory.annotation.Autowired *;
                        @org.springframework.beans.factory.annotation.Value *;
                        @org.springframework.stereotype.Service *;
                        @org.springframework.stereotype.Component *;
                        }
 
#忽略warn消息
-ignorewarnings
#忽略note消息
-dontnote
#打印配置信息
-printconfiguration
-keep public class com.example.myproguarddemo.MyproguarddemoApplication {
        public static void main(java.lang.String[]);
    }

这里面主要是做的一些代码混淆的规则。如下图:

image.png


二、在maven的pom.xml里面添加如下的plugin插件

        <plugin>
				<groupId>com.github.wvengen</groupId>
				<artifactId>proguard-maven-plugin</artifactId>
				<version>2.6.0</version>
				<executions>
					<!-- 以下配置说明执行mvn的package命令时候,会执行proguard -->
					<execution>
						<phase>package</phase>
						<goals>
							<goal>proguard</goal>
						</goals>
					</execution>
				</executions>
				<configuration>
					<!-- 就是输入Jar的名称,我们要知道,代码混淆其实是将一个原始的jar,生成一个混淆后的jar,那么就会有输入输出。 -->
					<injar>${project.build.finalName}.jar</injar>
					<!-- 输出jar名称,输入输出jar同名的时候就是覆盖,也是比较常用的配置。 -->
					<outjar>${project.build.finalName}.jar</outjar>
					<!-- 是否混淆 默认是true -->
					<obfuscate>true</obfuscate>
					<!-- 配置一个文件,通常叫做proguard.cfg,该文件主要是配置options选项,也就是说使用proguard.cfg那么options下的所有内容都可以移到proguard.cfg中 -->
					<proguardInclude>${project.basedir}/proguard.cfg</proguardInclude>
					<!-- 额外的jar包,通常是项目编译所需要的jar -->
					<libs>
						<lib>${java.home}/lib/rt.jar</lib>
						<lib>${java.home}/lib/jce.jar</lib>
						<lib>${java.home}/lib/jsse.jar</lib>
					</libs>
					<!-- 对输入jar进行过滤比如,如下配置就是对META-INFO文件不处理。 -->
					<inLibsFilter>!META-INF/**,!META-INF/versions/9/**.class</inLibsFilter>
					<!-- 这是输出路径配置,但是要注意这个路径必须要包括injar标签填写的jar -->
					<outputDirectory>${project.basedir}/target</outputDirectory>
					<!--这里特别重要,此处主要是配置混淆的一些细节选项,比如哪些类不需要混淆,哪些需要混淆 -->
					<options>
						<!-- 可以在此处写option标签配置,不过我上面使用了proguardInclude,故而我更喜欢在proguard.cfg中配置 -->
					</options>
				</configuration>
			</plugin>


然后代码混淆的配置就完成了,接着执行mvn install的命令后,即可看到我们打好的jar包

image.png

然后我们把这个包放到服务器上去执行即可。

三、我们使用jd-gui工具看下混淆后的代码

image.png


说明已经被混淆了。



备注:

1、这里的混淆我们主要使用的是这个插件:proguard-maven-plugin。感谢作者的分享。


最后按照惯例,附上本案例的源码,登录后即可下载。

登录访问
本站用户 免费查看
登录账号
您未登录,请登录注册后查看
 您阅读本篇文章共花了: 

我从清晨走过,也拥抱夜晚的星辰,人生没有捷径,你我皆平凡,你好,陌生人,一起共勉。
-- 展开阅读全文 --