java混淆框架proguard结合springboot项目混淆打包

已于 2023-03-15 21:19:14 修改
阅读量2.8k 收藏 5
点赞数
分类专栏: java 文章标签: java spring boot spring proguard
于 2023-03-15 21:16:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feinifi/article/details/129567100
版权
文章介绍了如何使用Proguard混淆Java项目,以增强代码安全性,防止反编译。混淆主要针对关键部分,避免枚举类型混淆导致反序列化失败。配置文件示例展示了如何保留Spring相关注解和特定类不被混淆。最后,文章通过一个SpringBoot示例项目演示了混淆过程和效果,证明混淆后的代码仍能正常运行。
摘要由CSDN通过智能技术生成

    java项目一般是打包成jar运行或者作为依赖给第三方使用的,有的时候,可能不想被别人反编译,于是就对关键部分进行混淆,让代码变得普通人看不懂的地步,很多关键字和变量都是用单个字母表示,达到一种类似加密的效果。

    java中混淆框架proguard,准确来说是一个插件,不需要对他进行编码,只需要进行配置即可。代码混淆,并不是把所有代码进行混淆,这样反而会出错,比如枚举类型如果也进行混淆,那么在使用反射创建实例,并给实例赋值的时候,枚举类型会反序列化失败。

    proguard提供了可以对哪些包,类,方法等不进行混淆的配置,我们可以将枚举配置在这里。

    因为springboot提供了打包插件spring-boot-maven-plugin,所以我们的混淆需要在springboot打包的插件之前,就是我们要对混淆之后的代码通过spring-boot-maven-plugin进行打包。

    下面是一个配置示例proguard.cfg:

# 指定不警告尚未解决的引用和其他问题
-dontwarn
# JDK目标版本1.8
-target 1.8
# 不做收缩(删除注释、未被引用代码)
-dontshrink
# 不做优化(变更代码实现逻辑)
-dontoptimize
# 混淆时不使用大小写混合,混淆后的类名为小写
-dontusemixedcaseclassnames
# 不去忽略非公共的库类
-dontskipnonpubliclibraryclasses
# 指定不跳过包可见的库类成员(字段和方法)。
# 默认情况下,proguard在解析库类时会跳过包可见的库类成员。当我们确实引用了包可见的类成员时,需要设置此项
-dontskipnonpubliclibraryclassmembers
# 确定统一的混淆类的成员名称来增加混淆
-useuniqueclassmembernames
# 优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodification
# 不混淆所有包名
#-keeppackagenames
# 需要保持的属性:异常,注解等
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod
# spring 相关的注解,不要混淆
-keepclassmembers class * {
     @org.springframework.** *;
     @javax.annotation.PostConstruct *;
     @javax.annotation.PreDestroy *;
}
# spring 相关的注解,不要混淆
-keepclassmembers class * {
     @org.springframework.beans.factory.annotation.Autowired <fields>;
     @org.springframework.beans.factory.annotation.Autowired <methods>;
}

#混淆时是否记录日志
#-verbose

# 不混淆所有的set/get方法
-keepclassmembers public class * {void set*(***);*** get*();}
# 不混淆本工程中的部分特殊类
-keep class com.xxx.hello.Hello {*;}
-keep class com.xxx.hello.domain.BookStatus {*;}

# 不混淆所有包含Component等注解的类
-keep @org.springframework.stereotype.Component class * {*;}
-keep @org.springframework.stereotype.Service class * {*;}
-keep @org.springframework.web.bind.annotation.RestController class * {*;}
-keep @org.springframework.context.annotation.Configuration class * {*;}

    pom.xml

 <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.8</version>
    </parent>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.20</version>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.0.14</version>
                <executions>
                    <execution>
                        <!--混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <!--使用插件的混淆功能-->
                        <goals>
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <proguardVersion>6.1.0</proguardVersion>
                    <!--是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!-- 加载配置文件 -->
                    <proguardInclude>proguard.cfg</proguardInclude>
                    <!-- 对什么东西进行加载-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包 或 文件夹-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>
                    <libs>
                        <!-- Include main JAVA library required.-->
                        <lib>${java.home}/lib/rt.jar</lib>
                        <!-- Include crypto JAVA library if necessary.-->
                        <lib>${java.home}/lib/jce.jar</lib>
                    </libs>
                </configuration>
                <dependencies>
                    <dependency>
                        <groupId>net.sf.proguard</groupId>
                        <artifactId>proguard-base</artifactId>
                        <version>6.1.0</version>
                    </dependency>
                </dependencies>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <mainClass>com.xxx.hello.Hello</mainClass>
                    <classifier>exec</classifier>
                    <layout>ZIP</layout>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

    java项目在最后给出来,大致意思是,启动springboot web项目,提供两个接口add,get,一个是用来添加一个book对象,一个用来读取这个book对象。

    打包之后的文件:

    可以看到hello-1.0-SNAPSHOT_proguard_base.jar要早于另外两个jar,因为它要先混淆。

    我们可以通过反编译软件jd-gui查看打包后的jar文件:

    这里面对spring相关的都进行过过滤,所以剩下的都是和spring无关的类, 除了BookStatus这个枚举类型之外,都进行了混淆,类名称都直接缩写成了小写字母a,b,c....

    测试写入:

    测试读取:

    都是没问题的,如果我们把BookStatus枚举也进行混淆,那么进行写入的时候,报错:

     意思是反序列化失败, 因为没有BookStatus的枚举常量。

     代码地址:https://gitee.com/buejee/javaproguardexample

luffy5459
关注
专栏目录
简单使用ProGuard混淆jar包
w15013761160的博客
11-08 3181
开发项目的时候需要向别人提供SDK,又不想让别人看到源码,会用到混淆。 简单记录下ProGuard混淆jar包的方法: 首先,proguardgui.bat是在android sdk 目录下(Android\sdk\tools\proguard\bin); 运行proguardgui.bat,会弹出一个ProGuard界面: 全是英文,不
java jar混淆加密_Jar混淆加密Proguardspring boot 版)
weixin_42127369的博客
02-13 1199
一般的.class文件可以通过jd-gui工具直接看到源码!所以,再生产级别的java开发中,务必要是用jar包加密。加密方式有三种:1.proguard 混淆(1)在pom文件中,引入proguard插件com.github.wvengenproguard-maven-pluginpackageproguard5.3.3${project.build.finalName}.jar${projec...
震惊!三分钟内搞定ProGuard混淆Java代码所有问题!绝招大公开!
小金的博客
07-31 1672
当前的世界抄袭不断,当然本着开源的精神,我们也提倡代码共享,但是绝对拒绝代码抄袭,为了防止世界被破坏,为了守护世界的和平,自然而然衍生了许多代码混淆的技术,那么何为代码混淆呢?
proguard工具jar包混淆
08-31
proguard最新版jar包混淆工具,能使部署的jar包不让对方破解
Springboot集成Proguard生成混淆jar包
最新发布
菜鸡的博客
08-09 715
当我们需要将JAR包交付给第三方时,常常担心代码可能会被反编译。因此,对JAR包进行混淆处理显得尤为重要。市面上有许多JAR包源码混淆工具,但真正能稳定投入使用的并不多。例如,ClassFinal ()`是国内开发者开发的一款 JAR 包加密工具,它采用的是字节码加密的方案。然而,ClassFinal ()已经停止维护多年,并且它的使用需要额外提供一个加密包来解密,这种方式虽然注重安全性,但增加了使用的复杂性。
JAVASpringboot集成Proguard完成jar包混淆
xbl的博客
03-22 2390
Proguard混淆源码的作用在于能够在不影响服务能力的前提下紊乱jar包内的源码,能够极大的降低代码可读性。对于研发而言,反编译后使用的成本过高,还不如直接自己重新写,所以它其实也算是满足了代码安全性的要求。 本文章能够提供最为直接的配置,降低研发人员的学习成本。 ​
使用proguardJava的jar包混淆
qq_45495315的博客
10-23 1573
使用proguard混淆jar包
Proguard进行Jar包混淆
mengweiqi33的专栏
06-22 9070
前面文章《Proguard进行源代码混淆》讲解过怎么使用Proguard工具对Android的源代码进行混淆的方法(感兴趣的朋友可以访问:http://blog.csdn.net/p106786860/article/details/11974863),但是在实际工作中发现,通过上述方法对导出的Jar并没有进行混淆。    下面我们就介绍,如果对导出的Jar包进行代码混
springboot工程(单个maven工程)利用proguard实现代码混淆 java demo案例
06-05
Spring Boot作为Java领域广泛使用的微服务框架,其工程结构通常包含敏感信息和业务逻辑,因此,对代码进行混淆处理可以有效防止逆向工程攻击,同时也能优化应用的运行效率。ProGuard是一款强大的Java类文件混淆、...
springboot工程(单个maven工程)利用proguard实现代码混淆
06-05
ProGuard是一款强大的代码混淆、优化和压缩工具,它可以帮助开发者将Java字节码混淆为难以阅读的形式,从而增加逆向工程的难度。本篇文章将详细探讨如何在一个Spring Boot的Maven工程中集成并使用ProGuard进行代码...
springboot+maven项目使用ProGuard混淆工具的步骤
weixin_45121502的博客
04-23 2515
混淆工具,顾名思义只能做混淆,并不能做到真正的加密 springboot项目使用ProGuard加密工具加密的过程如下: 在springboot项目的pom.xml文件中,引入插件相关依赖 <build> <plugins> <plugin> <groupId>com.github.wvengen<...
JAVA 混淆打包工具
01-06
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
Java+IDEA+Maven混淆打包
07-15
IDEA中使用maven打jar包,然后使用工具混淆代码,亲测有效
Java+IDEA+maven混淆打包
03-15
IDEA中使用maven打jar包,然后使用工具混淆代码,亲测有效
Java Jar包混淆proguard.v3.8
12-09
Java Jar包混淆proguard.v3.8 双击proguardgui.jar运行
Java打包混淆之Allatori
jy317358306的博客
06-03 5875
111
Java代码混淆工具ProGuard(附有1.8以上和以下使用工具)使用详解
m0_46208105的博客
05-13 4097
ProGuardJava类文件收缩器,优化器,混淆器和预验证器。快速混淆Java代码。
proguard混淆jar包
chundie2615的博客
01-05 726
1.混淆代码前,需要先将要混淆的jar包和相关的依赖包整理出来。打包的工具一般采用maven ,命令:mvn package, maven的使用方法自行百度。整理后的目录如下图所示。 2.proguard使用5.2版本,下载解压缩后进入bin目录,启动proguardgui....
ProGuard混淆Jar包
hooray520的专栏
04-12 375
[size=large]我要混淆的是是android的一个jar包,虽然自带了proguard 但感觉很不好用,先用progruad单独做混淆了。 1.在"Input/Output"页签中,设置好要混淆的jar包,设置好混淆结果包的名字,指定好编译这个包需要的jar包,注意,jar包不要同意包含接口jar包及接口的实现jar包,Proguard会个定义重复的错。 添加依赖的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luffy5459

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值