使用allatori对SpringBoot多模块代码进行混淆

最新推荐文章于 2024-06-07 18:39:06 发布
最新推荐文章于 2024-06-07 18:39:06 发布
阅读量2.2k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/null_equals/article/details/105205566
版权

使用allatori对SpringBoot多模块代码进行混淆

代码混淆介绍

1.由于项目需要私有化部署,为了保证代码的安全性,需要对springboot项目进项代码混淆,代码混淆顾名思义就是把代码变得让人看不懂,那么看不懂了又怎么运行呢,其实混淆主要混淆一些关键性的业务性代码,把关于业务逻辑的一部分代码变量名称变成a,b,c,d,e,f,g…就让人读起来很难理解。但是话又说回来,由于代码的特殊性,像mybatis一样,如果把变量名都改了,xml文件能映射到对象吗?答案是否定的。所以在代码混淆时需要排除掉一些可能会有问题的方法和类。下面就让我们一起来从零混淆一个springboot的项目吧。

官方案例

[官网](http://www.allatori.com/)
 可以先看一下官网的案例,解压官网给的demo:

20200319174413400_7710.png

20200319174648091_6084.png

在这里可以执行官网给的demo,并查看混淆后的代码。

当然如果你只有一个项目,并且混淆次数也不多,你也可以通过这种方式,把项目拷贝到这个目录,修改配置文件,手动执行混淆的脚本。也是没毛病的。
但是,我们既然是springboot项目,必然会有多个项目,如果这么搞是不是得搞死。。。。并且老大也不同意呀!所以,继续往下探索吧,我们要把混淆工具集成到idea中,通过mvn打包直接打出混淆后代码的包。

代码混淆集成IDE

  1. 首先,看一下项目的结构
    20200319175749497_8376.png

这里,我先拿一个项目my_springcloud中的一个子模块demo_service来做混淆,需要修改的地方已经标红了,一共3处:添加allatori.xml,修改pom.xml,添加allatori.jar (jar包可以在官网demo的lib目录拿到)

  1. pom.xml
 <build>
    <plugins>
      <plugin>
      <!-- springboot打包插件 -->
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
      <plugin>
      <!-- resouces拷贝文件插件 -->
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-resources-plugin</artifactId>
        <version>2.6</version>
        <executions>
        <!-- 执行这个插件的时候执行申明的所有phase -->
          <execution>
            <id>copy-and-filter-allatori-config</id>
            <phase>package</phase>
            <goals>
              <goal>copy-resources</goal>
            </goals>
            <configuration>
            <!-- 这个地方需要注意拷贝的文件位置需要是target目录,target目录是最终打jar包存放的位置 -->
              <outputDirectory>${basedir}/target</outputDirectory>
              <resources>
                <resource>
                <!-- 这个地方的文件目录需要注意,网上很多目录都是${basedir}/allatori这个,所以才会需要手动拷贝allatori.xml文件到target目录下,有了这个mvn会自动帮我们拷贝了 -->
                  <directory>src/main/resources</directory>
                  <includes>
                  <!-- 配置文件文件名 -->
                    <include>allatori.xml</include>
                  </includes>
                  <filtering>true</filtering>
                </resource>
              </resources>
            </configuration>
          </execution>
        </executions>
      </plugin>
      <plugin>
      <!-- 代码混淆打包插件 -->
        <groupId>org.codehaus.mojo</groupId>
        <artifactId>exec-maven-plugin</artifactId>
        <version>1.2.1</version>
        <executions>
          <execution>
            <id>run-allatori</id>
            <phase>package</phase>
            <goals>
              <goal>exec</goal>
            </goals>
          </execution>
        </executions>
        <configuration>
          <executable>java</executable>
          <arguments>
            <argument>-Xms128m</argument>
            <argument>-Xmx512m</argument>
            <argument>-jar</argument>
            <!-- 指定引用的allatori的jar包位置,这里把jar包放在了根目录下的lib目录里 -->
            <argument>../lib/allatori.jar</argument>
            <!-- 指定代码混淆时的配置文件,因为是混淆指定的是jar包,jar包位置在target下,所以我们的allatori.xml也需要拷贝到该目录下 -->
            <argument>${basedir}/target/allatori.xml</argument>
          </arguments>
        </configuration>
      </plugin>
    </plugins>
  </build>
  1. allatori.xml文件
<config>
  <input>
    <!-- in中是待混淆的jar包,out是混淆后的jar包,路径是相对本配置文件所在位置 -->
    <!-- 这个示例中,A.jar是工程jar包,B.jar是子模块jar包 -->
    <jar in="demo_service-0.0.1-SNAPSHOT.jar" out="demo_service-0.0.1-SNAPSHOT-obfuscated.jar"/>
    <!--    <jar in="../../B/target/B.jar" out="B.jar"/>-->
  </input>

  <!-- ignore-classes中配置不被混淆的类 -->
  <ignore-classes>
    <!-- 配置了启动相关类不被混淆,保证springboot可以正常启动 -->
    <class template="class *Application*"/>

    <class template="class *springframework*"/>
    <class template="class *alibaba*"/>
    <class template="class *persistence*"/>
    <class template="class *apache*"/>

    <class template="class *model*"/>
    <class template="class *enums*"/>
    <class template="class *repository*"/>
  </ignore-classes>

  <keep-names>
    <!-- 防止部分类、方法、变量找不到名称而报错 -->
    <!-- 所有方法名称不变,parameters="keep"表示方法参数名也不变 -->
    <method template="*(**)" parameters="keep"/>
    <!-- com.a.b.c中的类以及其子包中的类的名称不变 -->
<!--    <class template="class com.a.b.c.*"/>-->
  </keep-names>

  <property name="log-file" value="log.xml"/>
</config>

还有很多配置可以参考官方文档:官网文档

  1. 打包

配置好之后就可以打包了,如下图所示

20200319181646959_6272.png

在根目录下执行命令:mvn package -DskipTests

当你看到下图时,说明多半你的代码已经混淆成功了,至于能不能用还有待验证
20200319181519149_15266.png
执行成功之后,在项目的target目录下会生成你想要的jar包
20200319181857489_19525.png

jar包拿出来就可以运行了,如果不能运行,就需要看一下错误信息,可能是某个类或方法不能做混淆,就需要在配置文件中配置相关类不被混淆

实际场景

实际工作中,我们的项目大部分情况下是在自己服务器上部署的,只有个别需要私有化部署的项目,所以我们希望在需要的时候打开混淆的开关,生成混淆后的jar包,不需要的时候就还按照原有的jar包生成。我相信有很多公司也是一样的情况,那下面我们继续探索吧。

方案一:
设置两个pom.xml通过maven打包配置 mvn package -f allatori-pom.xml,其中原pom.xml保持不变,在allatori-pom.xml中指定代码混淆的插件,在jenkins打包中可以通过配置,设置打包时指定pom文件
20200323134057160_17693.png

并把pom.xml参数化,可以在需要的时候打出混淆的包,不需要的时候指定默认的pom.xml即可
优点:清晰明了,在大部分不需要打代码混淆包的情况下比较实用,原pom不受影响,代码修改最小化
缺点:pom.xml无法继承或复用,新建的allatori-pom.xml需要维护,添加依赖时需要多次复制,否则可能在生成混淆包时打包错误

方案二:
pom文件还按照上面例子中修改,打包时指定-Dskip=true,指跳过代码混淆执行器,注意:插件exec-maven-plugin在1.5.0以前是有别名的,别名叫skip,可以通过-Dskip=true跳过执行器,1.5.0之后去掉了别名,需要通过-Dexec.skip=true跳过执行器,默认配置false
打包时通过jenkins配置,如下图:

20200323135315421_26515.png

20200323135344108_10747.png

优点:不需要考虑pom.xml维护问题,一次修改,终身受益

选择方案二,因为刚开始不知道有这个配置项的,所以暂时采用了方案一,后边翻看maven官网,并看了exec-maven-plugin源码后,发现了这个配置项,所以就改用第二种方案了。真香!

注意事项

1 如果代码里请求静态资源的方法,注意请求路径的写法。因为如果是第三步将混淆后的jar包导入项目,获取文件的相对路径可能会不一样

2 如果方法中有重定向等写法,主要不要将此内容进行混淆;

null_equals
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
SpringBoot + proguard+maven模块实现代码混淆
06-08
springbootmaven工程结构:proguard-root 是顶级父工程,proguard-modu01、proguard-mudu02是两个业务模块,proguard-server是springboot启动服务类模块,对proguard-modu01、proguard-mudu02两个模块实现proguard...
Spring Boot + Allatori 代码混淆demo
02-27
基于Spring Boot,运用Allatori 6.4版本对代码进行混淆的demo。内含Allatori文档及详细工程。
使用Allatori对Spring Boot项目进行代码混淆
热门推荐
Lovnx
02-27 1万+
Allatori混淆技术介绍 Allatori是一个Java 混淆器,它属于第二代混淆器,因此它能够全方位的保护你的知识产权。 Allatori具有以下几种保护方式:命名混淆,流混淆,调试信息混淆,字符串混淆,以及水印技术。对于教育和非商业项目来说这个混淆器是免费的。支持war和jar文件格式,并且允许对需要混淆代码的应用程序添加有效日期。 有项目需要对代码进行保护,比较初级的方案就是对代码进行...
SpringBoot打包Jar并混淆
weixin_51125521的博客
06-07 302
Jar包加密混淆
使用allatori混淆springboot项目模块
Xiaoxin_Java的博客
08-03 1202
1.首先到官网下载混淆所需要的jar包:allatori.jar 官网地址:http://www.allatori.com 2.在项目的pom文件中添加混淆的插件 <build> <plugins> <!--混淆配置开始--> <plugin> <groupId>org.codehaus.mojo</groupId>
关于allatori代码混淆技术的一次实践
Carson073的博客
10-13 1987
allatori官方网站:https://allatori.com/ proguard官网: https://www.guardsquare.com/proguard.
Allatori 代码混淆 整合springboot 项目 初体验
一名软件修理工的博客
05-16 925
Allatori 最近涉及到一些代码安全方面的工作,找到Allatori 这个代码混淆工具,代码混淆是将代码中类名、方法名、属性名替换为无意义符号,增加代码逆向难度,对应用程序逻辑结构进行打乱混排,保证源码可读性降到最低,从而实现代码保护。 官网下载 http://www.allatori.com/ 压缩包 1.pom.xml中引入插件 <build> <plugins> <plugin> &lt
代码混淆 -- SpringBoot集成Allatori对源代码混淆,防反编译获取源码
TheBigBlue的博客
06-03 1648
向导Allatori介绍使用结果注意的点 Allatori介绍 Allatori是第二代Java混淆器,可为您的知识产权提供全方位的保护。 尽管大多数第二代混淆器都提供了值得保护的级别,但我们已经在Allatori中开发了许多附加功能, 以使对代码进行逆向工程几乎不可能。 Allatori不仅会混淆,还会最大程度地减少应用程序的大小并提高速度,同时您和您的团队以外的任何人 都无法读取您的代码。作为每个现代Java混淆器,Allatori具有完整的水印功能,从而有可能为您的软件 提供适当的许可! 如果有
springboot项目代码混淆和反编译教程·附软件连接
来一杯Java的博客
11-29 3819
springboot项目进行代码混淆,可以防止别人通过反编译项目查看代码,即使反编译了查看的也是混淆后的看不懂的代码。 一定程度保证了项目源码安全性。
Allatori代码混淆
cs4380的博客
09-04 3219
Allatori代码混淆 *在项目(模块)中添加代码混淆,采用allatori官网提供的allatori.jar,本案例采用SpringBoot搭建,maven私服搭建引入allatori依赖 一、采用pom方式引入 1、pom.xml中引入依赖 在dependencies标签中添加 <!-- 私服allatori --> <dependency> <grou...
Spring Boot使用Allatori代码混淆的方法
08-27
Allatori 是一款功能强大且易于使用的 Java 混淆器,它可以对我们的代码进行多方面的保护。下面我们将详细介绍 Spring Boot 使用 Allatori 代码混淆的方法。 Allatori 混淆技术介绍 Allatori 是一款 Java 混淆器,...
java反编译源码保护-confusion:SpringBoot项目使用Allatori代码混淆技术
06-05
有项目需要对代码进行保护,比较初级的方案就是对代码进行混淆,打包之后的文件进行反编译后,就可以看到效果。此外,使用Allatori打的包大小也会小一点。 工程介绍 一个很普通的maven工程,不同的是在根目录下加入...
使用Allatori对代码进行加密
01-04
Java是一种跨平台的、解释型语言,Java源代码编译成中间“字节码”存储于class文件中。由于跨平台的需要,Java字节码中包括了很多源代码信息,如...为了防止这种现象,我们可以使用Java混淆器对Java字节码进行混淆
SpringBoot项目——混淆加密
m0_46540897的博客
05-31 5416
SpringBoot项目——混淆加密 Java是一种跨平台的编程语言,代码运行之前会被JDK编译成字节码文件。在Java字节码中包括了很多源代码信息,比如变量名、方法名等等,并且通过这些名称来访问变量和方法,这些符号带有许多语义信息,很容易被反编译成Java源代码。平时我们在分发和部署项目的时候,为了保护我们自己的知识产权,通常要对Java代码进行混淆加密。 Oracle数据库是用Java开发的,如果代码混淆加密的话,任何人都能通过反编译程序,获取到Oracle的源代码。以Oracle的行事作风,所有影
开题报告电影票订票APP的设计与实现 已通过开题答辩的.doc
07-30
近些年的电影在人们文娱活动中占据重要地位,另外,由于人们的生活越来越富有,越来越多的人们不再选择在家里看电影,而是选择去电影院看电影。但是,以往的售票方式是需要工作人员一张张的录入到账户薄中的,这一模式已不再适应现在的实际情况,因为手动的操作不仅繁琐还容易存在差错。随着电子商务的发展,网络购票已经成为一种趋势,电子影票也已经慢慢走入人们的生活。目前,网票网作为国内首家全国性的网上选座购买电影票平台完全实现网上/手机查看影讯、自助选座、网银支付、自助验票全自助化营运模式。
Magene_C506_1722330141_905661_1722351868.fit
最新发布
07-30
Magene_C506_1722330141_905661_1722351868.fit
麻雀搜索算法SSA-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5631.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
springboot模块代码混淆
08-29
对于Spring Boot多模块项目的代码混淆,你可以考虑使用以下方法: 1. 使用ProGuard进行代码混淆:ProGuard是一个开源的Java代码混淆工具,它可以帮助你去除无用的类、字段和方法,并对类、字段和方法进行重命名,增加代码的安全性。你可以在每个模块的构建过程中集成ProGuard插件,并在构建过程中使用合适的配置文件来混淆代码。 2. 使用防护插件:Spring Boot提供了一些防护插件,如Spring Security和Spring Cloud Gateway等,可以帮助你对请求进行过滤和认证授权,保护代码的安全性。 3. 对敏感信息进行加密:如果你的项目涉及到敏感信息,如数据库密码、API密钥等,可以考虑使用加密算法来对这些信息进行加密存储,以增加其安全性。 4. 控制访问权限:在多模块项目中,你可以根据需要来控制各个模块之间的访问权限,只暴露必要的接口给外部调用,从而减少被恶意访问和利用的风险。 总之,多模块项目的代码混淆是一个综合性的问题,需要综合考虑各方面的安全性需求,并选择适合的方法和工具进行保护。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值