proguard混淆maven多模块实战(干货)

最新推荐文章于 2024-07-31 15:17:36 发布
最新推荐文章于 2024-07-31 15:17:36 发布
阅读量3.2k 收藏 8
点赞数 2
分类专栏: Java 文章标签: maven java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmy1329160579/article/details/126637348
版权

背景

一般来说,后端代码部署在服务器上,用户是无法接触到的,所以后端代码混淆做得比较少,但是公司的业务,有Saas业务,需要将后端整套代码都进行部署到用户的服务器上,由于Java极其容易进行反编译,所以用户很容易得到我们的源代码,进行破解,所以我们有必要对代码进行混淆,经常尝试,使用proguard进行混淆,但是现在的工程基本上是多模块应用,混淆的时候踩了很多坑

工程模块图示例

在这里插入图片描述
也就是app这个依赖于admin,business,common等其它工程,最终打包出来的app工程是聚合了其它模块的工程,那么我们的操作基本是在app的pom进行操作
但是按照正常打包的方式,生成的结构会是打包了app的代码,而admin等模块会被打包成jar,放入lib里面。我们需要进行整体混淆,那么就需要先把其它模块给拆分出来,然后聚合到app包里面去,所以我们先在最顶层用

  <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-assembly-plugin</artifactId>
                <version>3.3.0</version>
                <configuration>
                    <!-- 打包生成的包不拼接xml里的id 为后缀 -->
                    <appendAssemblyId>false</appendAssemblyId>
                    <!--打包文件路径-->
                    <descriptors>
                        <descriptor>${project.basedir}/assembly.xml</descriptor>
                    </descriptors>
                </configuration>
                <executions>
                    <execution>
                        <id>assembly-package</id>
                        <phase>package</phase>
                        <goals>
                            <goal>single</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

上面插件基本不变,添加assmbly.xml文件
assmbly.xml

<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="http://maven.apache.org/ASSEMBLY/2.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://maven.apache.org/ASSEMBLY/2.0.0 http://maven.apache.org/xsd/assembly-2.0.0.xsd">

    <!--项目标识,设置的话,生成后的zip文件会加上此后缀-->
    <id>${project.version}</id>
    <!--打包格式-->
    <formats>
        <format>jar</format>
    </formats>
    <!--压缩包下是否生成和项目名相同的根目录-->
    <includeBaseDirectory>false</includeBaseDirectory>
    <fileSets>
        <fileSet>
            <directory>${project.build.directory}/classes</directory>
            <outputDirectory>/</outputDirectory>
        </fileSet>
    </fileSets>
    <dependencySets>
        <!-- 把依赖的项目其他模块代码放到jar包里,方便对其他模块代码 -->
        <dependencySet>
            <includes>
                <include>com.lmy.optical:*</include>
            </includes>
            <unpack>true</unpack>
        </dependencySet>
    </dependencySets>

</assembly>```
然后开始添加混淆配置

```java
  <!-- 代码混淆 -->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.3.1</version>
                <executions>
                    <execution>
                        <!-- 打包的时候开始混淆-->
                        <phase>package</phase>
                        <goals>
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <injar>${project.build.finalName}.jar</injar>
                    <!--输出的jar-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <proguardInclude>${basedir}/proguard.cfg</proguardInclude>
                    <injarNotExistsSkip>true</injarNotExistsSkip>
                    <options>
                        <!--指定java版本号-->
                        <option>-target 1.8</option>
                        <!--不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!--默认是开启的,这里关闭字节码级别的优化-->
                        <option>-dontoptimize</option>
                        <!--混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代-->
                        <option>-adaptclassstrings</option>
                        <!--混淆时不生成大小写混合的类名,默认是可以大小写混合-->
                        <option>-dontusemixedcaseclassnames</option>
                        <!--                            指定将相同的混淆名称分配给具有相同名称的类成员,并将不同混淆名称分配给名称不同的类成员,(我猜)假设两个类有相同的类成员(如方法名),则混淆后名称一样-->
                        <!--                            <option>-useuniqueclassmembernames</option>-->
                        <!-- 忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--对异常、注解信息在runtime予以保留,不然影响springboot启动-->
                        <option>-keepattributes
                            Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod
                        </option>
                        <!--不混淆所有interface接口-->
                        <!--                        <option>-keepnames interface **</option>-->
                        <!--                            <option>-keep interface * extends * { *; }</option>-->
                        <!--保留枚举成员及方法-->
                        <option>-keepclassmembers enum * { *; }</option>
                        <!-- 不参与混淆的类参数也不混淆,controller如果参数也混淆会导致传参映射不上 -->
                        <option>-keepparameternames</option>

                        <!--不混淆带有main 方法的类 网上的配置我没用-->
                        <!--                            <option>-keepclasseswithmembers public class * {-->
                        <!--                                public static void main(java.lang.String[]);}-->
                        <!--                            </option>-->
                        <!--百度的配置,注释掉没出问题,忽略note消息,如果提示javax.annotation有问题,那麽就加入以下代码-->
                        <!--                            <option>-dontnote javax.annotation.**</option>-->
                        <!--                            <option>-dontnote sun.applet.**</option>-->
                        <!--                            <option>-dontnote sun.tools.jar.**</option>-->
                        <!--                            <option>-dontnote org.apache.commons.logging.**</option>-->
                        <!--                            <option>-dontnote javax.inject.**</option>-->
                        <!--                            <option>-dontnote org.aopalliance.intercept.**</option>-->
                        <!--                            <option>-dontnote org.aopalliance.aop.**</option>-->
                        <!--                            <option>-dontnote org.apache.logging.log4j.**</option>-->
                        <!--                            <option>-keep class org.apache.logging.log4j.util.* { *; }</option>-->
                        <!--                            <option>-dontwarn org.apache.logging.log4j.util.**</option>-->
                        <!--不混淆所有类,保存原始定义的注释,网上找到的配置,我注释掉没出现任何问题-->
                        <!--                            <option>-keepclassmembers class * {-->
                        <!--                                @org.springframework.beans.factory.annotation.Autowired *;-->
                        <!--                                @org.springframework.beans.factory.annotation.Value *;-->
                        <!--                                @org.springframework.web.bind.annotation.PostMapping *;-->
                        <!--                                @org.springframework.web.bind.annotation.DeleteMapping *;-->
                        <!--                                @org.springframework.stereotype.Repository *;-->
                        <!--                                @com.shark.example.configuration.log *;-->
                        <!--                                }-->
                        <!--                            </option>-->
                    </options>
                    <libs>
                        <!-- 添加依赖 java8-->
                        <lib>${java.home}/lib/rt.jar</lib>
                        <lib>${java.home}/lib/jce.jar</lib>
                    </libs>
                </configuration>
                <dependencies>
                    <!-- https://mvnrepository.com/artifact/net.sf.proguard/proguard-base -->
                    <dependency>
                        <groupId>com.guardsquare</groupId>
                        <artifactId>proguard-base</artifactId>
                        <version>7.0.0</version>
                    </dependency>
                </dependencies>
            </plugin>

最后进行打包

 <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.6.4</version>
                <configuration>
                    <fork>true</fork> <!-- 如果没有该配置,devtools不会生效 -->
                    <mainClass>com.lmy.AppApplication</mainClass>

                    <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了-->
                    <excludeGroupIds>
                        com.lmy
                    </excludeGroupIds>
                    <!-- end:混淆配置 -->
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.8.1</version>
                <configuration>
                    <!-- 配置编译时不混淆方法名,需要时在配置 -->
                     <compilerArgument>-parameters</compilerArgument>
                </configuration>
            </plugin>
        </plugins>

也可以在引入混淆配置proguard.cfg

#所有类(包括接口)的方法参数不混淆(包括没被keep的) 如果参数混淆了 mybatis mapper 参数绑定会出错(如#{id}-keepattributes MethodParameters

#入口程序类不能混淆,混淆会导致springboot启动不了
-keep class com.lmy.AppApplication {*;}

#由于spring会根据参数名称绑定参数,如果参数名称被混淆了,参数绑定是会报错,所以不混淆controller的所有的public方法(也可以不混淆类名)
#因为配置了'keepparameternames'所以不混淆方法时参数也不会混淆
-keepclassmembers class com.lmy.*.controller.* {public *** *(...);}
#但是因为swagger配置了根据包路径进行扫描,所以如果混淆了会导致swagger扫描不到混淆后的包,所以不混淆controller的包路径
-keeppackagenames com.lmy.*.controller

#实体类不混淆不然会导致mybatis xml 配置的实体类找不到
#如果是spring jpa 用到@Query 也会导致找不到相关类
-keep class com.lmy.common.module.** {*;}

-keepclassmembers  class com.lmy.**.dto.** {*;}

-keepclassmembers  class com.lmy.**.vo.** {*;}

-keep class com.lmy.common.base.** {*;}

#mybatis mapper不混淆 否则会导致xml 配置的mapper找不到
-keep class com.lmy.common.dao.** {
    *;
}

#-keep interface com.lmy.common.service.** {
#    *;
#}
#
#-keep class com.lmy.common.service.impl.** {
#   *;
#}

#不混淆spring jpa的 repository,否则就无法根据方法名查询了
-keep class com.dataexa.fzty.deduction.repository.** {
    *;
}

#保留service的所有公共方法名,由于使用AOP控制事务,根据拦截get,update等方法进行事务控制,所以需要不混淆service下的public方法名
-keepclassmembers class com.lmy.common.service.** {public *** *(...);}
#不混淆service包名,由于使用AOP(POINTCUT=serivce包名包名)控制事务,所以需要保留service的包名防止找不到service
-keeppackagenames com.lmy.common.service.**

#frannework下都是一些配置类比如datasource,aopconfig,swaggerconfig如果混淆会导致各种启动报错,
#比如用@Around(value = "apiLog()")指定apiLog方法对应的@Pointcut作为切入点,但是因为apiLog方法被混淆成a导致找不到对应@Pointcut
#所以全部不混淆 省心点
-keep class com.lmy.framework.config.** {
    *;
}
-keep @org.springframework.context.annotation.Configuration class * {
    *;
}
-keep @org.springframework.stereotype.Component class * {
    *;
}

#注解了Aspect的都不混淆,由于把framework下的所有类都不混淆,所以此配置就可有可无了
#-keep @org.aspectj.lang.annotation.Aspect class * {
#    *;
#}

#保留Serializable序列化的类不被混淆
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}
lmy1329160579
关注
专栏目录
Proguard混淆Maven集成
baidu_21259973的专栏
09-25 6730
Proguard混淆Maven集成 目录 1       prouard与maven集成     2 2       Proguard配置     3 2.1压缩     3 2.2.优化     3 2.3 混淆     3 3.工程搭建     9 3.1.Jar工程混淆     9 3.2.WEB工程混淆     9            
Maven WEB 项目使用ProGuard进行混淆,最佳解决方案&详解
热门推荐
super_的博客
07-05 1万+
本文中介绍的项目使用了SSM框架。项目包结构: 该项目是典型的Maven WEB项目 主要混淆对象 对类的名称、属性、方法名都进行混淆 次要混淆对象 对类的名称不混淆,类的属性、方法名选择性混淆混淆对象 不进行混淆混淆后可能出现异常 Maven 配置(pom.xml)使用Maven集成的ProGuard插件,混淆配置不用单独建立文件<project xmlns="http:/
proguard-maven-plugin:支持模块ProGuard软件包的ProGuard Maven插件
02-02
ProGuard Maven插件 在您的构建中运行 。 对于用法,请阅读生成的。 开发发生在。 该插件处于成熟状态,因此预计不会进行重大开发更改。 欢迎提出请求。 这是的的继承者。
Maven 环境下使用 proguard 混淆模块 J2EE工程
dns007
03-15 4296
原文:https://my.oschina.net/noahxiao/blog/304746?utm_source=tuicool&utm_medium=referral#comment-list proguard 原理基础:http://blog.csdn.net/glony/article/details/8852245
震惊!三分钟内搞定ProGuard混淆Java代码所有问题!绝招大公开!
最新发布
小金的博客
07-31 1396
当前的世界抄袭不断,当然本着开源的精神,我们也提倡代码共享,但是绝对拒绝代码抄袭,为了防止世界被破坏,为了守护世界的和平,自然而然衍生了许多代码混淆的技术,那么何为代码混淆呢?
Maven - 代码混淆Proguard踩坑记
小工匠
05-11 2612
ProGuard是一个Java代码混淆工具,它可以让你的Java程序变得更小、更快,同时也更安全。因为Java代码很容易被反编译,所以有时候需要对代码进行混淆,以保护你的知识产权。ProGuard主要做了三件事:压缩代码 - 它会删除程序中没有用到的类、属性和方法,让程序变小。优化代码 - 它会优化代码结构,让程序运行更快。混淆代码 - 它会把类名、属性名和方法名改成难懂的名字,让代码变得很难看懂。
SpringBoot + proguard+maven模块实现代码混淆
小酒仙
06-05 4039
基于SpringBoot+Maven模块工程利用proguard组件实现代码混淆
Proguard模块代码混淆步骤以及遇到的问题
weixin_43937268的博客
09-19 2548
Proguard代码混淆步骤以及遇到的问题
springboot的maven模块如何混淆jar包
智的博客
03-13 2340
proguard它检测并删除未使用的类、字段、方法和属性。它优化字节码并删除未使用的指令。它使用简短的无意义名称重命名其余的类、字段和方法。springboot可以使用这个插件 在 pom.xml 中自定义proguard 的指令,本文基于 springboot + maven + proguardmaven模块架构进行代码混淆
实现maven管理的Javaweb项目的proguard代码混淆功能
10-23
实现maven管理的Javaweb项目的proguard代码混淆功能、工具包下载及错误解决
proguard springboot 多模块代码混淆 一些坑
u014554286的博客
02-15 1617
proguard混淆使用
WEB Maven 项目 ProGuard 混淆方案
10-14
WEB Maven 项目 ProGuard 混淆方案 POM文件,包含详细混淆注释 具体请参考博客: http://blog.csdn.net/wltj920/article/details/48970869#comments
springboot工程(单个maven工程)利用proguard实现代码混淆
06-05
基于springboot搭建一个简单案例,利用proguard插件实现代码混淆,增加源代码的阅读和理解的难度, 并不能百分百保证代码安全。常用的应用场景是项目需要部署到客户机器上,一定程度上防止代码泄露。 ProGuard 是一个...
springboot项目使用proguard配置代码混淆
ThinkPet
06-13 4485
物料准备:1.pom引入proguard-maven-plugin插件2.在proguard.cfg配置文件里设置具体的代码混淆配置3.maven package 打包测试。
Maven - 代码混淆proguard-maven-plugin vs 代码加密classfinal
小工匠
02-24 5297
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。
利用Maven+ProGuard进行代码混淆,个人心得
qq_39483330的博客
02-18 3780
## 何为代码混淆 代码混淆就是对反编译后的代码的类名,参数名进行混淆,使得代码不容易被看懂。 ## Maven+ProGuard 这里我采用了Maven+ProGuard的方法进行代码混淆,可以直接修改pom文件,也可以修改pom文件同时加上ProGuard的配置文件。 将以下代码在模块的pom文件中放到build标签里面(options注释掉是因为我添加了ProGuard的配置文件,options里面的内容都加到了ProGuard的配置文件中)
模块java项目代码混淆
TingSty小z的博客
02-17 2776
声明:本项目并非安卓(android)项目,只是springboot项目或者普通的java项目,maven进行依赖管理。 使用插件:proguard 官方帮助文档 maven依赖: <!-- https://mvnrepository.com/artifact/com.github.wvengen/proguard-maven-plugin --> <dependency> <groupId>com.github.wvengen</groupId>
gradle proguard混淆
06-03
Gradle ProGuard混淆是一种将Java代码混淆的技术,它可以在Android应用程序打包时,将代码中的类、方法、字段等信息进行混淆和压缩,以增强应用程序的安全性。通过混淆,可以使攻击者难以理解和阅读源代码,降低应用程序被反编译的风险,同时还可以减小应用程序的大小。 在Gradle中,ProGuard可以通过在build.gradle文件中配置来启用。具体来说,需要在android模块下的build.gradle文件中添加以下代码: ``` buildTypes { release { minifyEnabled true // 开启混淆 proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro' } } ``` 其中,`minifyEnabled true`表示开启混淆,`proguardFiles`指定了ProGuard配置文件的位置。 在ProGuard的配置文件中,可以设置哪些类、方法、字段需要被保留,哪些需要被删除或者重命名等。ProGuard提供了一些默认的规则,也可以自定义规则。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值