使用allatori对SpringBoot多模块代码进行混淆

最新推荐文章于 2024-06-07 18:39:06 发布
最新推荐文章于 2024-06-07 18:39:06 发布
阅读量2.2k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/null_equals/article/details/105205566
版权

使用allatori对SpringBoot多模块代码进行混淆

代码混淆介绍

1.由于项目需要私有化部署,为了保证代码的安全性,需要对springboot项目进项代码混淆,代码混淆顾名思义就是把代码变得让人看不懂,那么看不懂了又怎么运行呢,其实混淆主要混淆一些关键性的业务性代码,把关于业务逻辑的一部分代码变量名称变成a,b,c,d,e,f,g…就让人读起来很难理解。但是话又说回来,由于代码的特殊性,像mybatis一样,如果把变量名都改了,xml文件能映射到对象吗?答案是否定的。所以在代码混淆时需要排除掉一些可能会有问题的方法和类。下面就让我们一起来从零混淆一个springboot的项目吧。

官方案例

[官网](http://www.allatori.com/)
 可以先看一下官网的案例,解压官网给的demo:

20200319174413400_7710.png

20200319174648091_6084.png

在这里可以执行官网给的demo,并查看混淆后的代码。

当然如果你只有一个项目,并且混淆次数也不多,你也可以通过这种方式,把项目拷贝到这个目录,修改配置文件,手动执行混淆的脚本。也是没毛病的。
但是,我们既然是springboot项目,必然会有多个项目,如果这么搞是不是得搞死。。。。并且老大也不同意呀!所以,继续往下探索吧,我们要把混淆工具集成到idea中,通过mvn打包直接打出混淆后代码的包。

代码混淆集成IDE

  1. 首先,看一下项目的结构
    20200319175749497_8376.png

这里,我先拿一个项目my_springcloud中的一个子模块demo_service来做混淆,需要修改的地方已经标红了,一共3处:添加allatori.xml,修改pom.xml,添加allatori.jar (jar包可以在官网demo的lib目录拿到)

  1. pom.xml
 <build>
    <plugins>
      <plugin>
      <!-- springboot打包插件 -->
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
      <plugin>
      <!-- resouces拷贝文件插件 -->
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-resources-plugin</artifactId>
        <version>2.6</version>
        <executions>
        <!-- 执行这个插件的时候执行申明的所有phase -->
          <execution>
            <id>copy-and-filter-allatori-config</id>
            <phase>package</phase>
            <goals>
              <goal>copy-resources</goal>
            </goals>
            <configuration>
            <!-- 这个地方需要注意拷贝的文件位置需要是target目录,target目录是最终打jar包存放的位置 -->
              <outputDirectory>${basedir}/target</outputDirectory>
              <resources>
                <resource>
                <!-- 这个地方的文件目录需要注意,网上很多目录都是${basedir}/allatori这个,所以才会需要手动拷贝allatori.xml文件到target目录下,有了这个mvn会自动帮我们拷贝了 -->
                  <directory>src/main/resources</directory>
                  <includes>
                  <!-- 配置文件文件名 -->
                    <include>allatori.xml</include>
                  </includes>
                  <filtering>true</filtering>
                </resource>
              </resources>
            </configuration>
          </execution>
        </executions>
      </plugin>
      <plugin>
      <!-- 代码混淆打包插件 -->
        <groupId>org.codehaus.mojo</groupId>
        <artifactId>exec-maven-plugin</artifactId>
        <version>1.2.1</version>
        <executions>
          <execution>
            <id>run-allatori</id>
            <phase>package</phase>
            <goals>
              <goal>exec</goal>
            </goals>
          </execution>
        </executions>
        <configuration>
          <executable>java</executable>
          <arguments>
            <argument>-Xms128m</argument>
            <argument>-Xmx512m</argument>
            <argument>-jar</argument>
            <!-- 指定引用的allatori的jar包位置,这里把jar包放在了根目录下的lib目录里 -->
            <argument>../lib/allatori.jar</argument>
            <!-- 指定代码混淆时的配置文件,因为是混淆指定的是jar包,jar包位置在target下,所以我们的allatori.xml也需要拷贝到该目录下 -->
            <argument>${basedir}/target/allatori.xml</argument>
          </arguments>
        </configuration>
      </plugin>
    </plugins>
  </build>
  1. allatori.xml文件
<config>
  <input>
    <!-- in中是待混淆的jar包,out是混淆后的jar包,路径是相对本配置文件所在位置 -->
    <!-- 这个示例中,A.jar是工程jar包,B.jar是子模块jar包 -->
    <jar in="demo_service-0.0.1-SNAPSHOT.jar" out="demo_service-0.0.1-SNAPSHOT-obfuscated.jar"/>
    <!--    <jar in="../../B/target/B.jar" out="B.jar"/>-->
  </input>

  <!-- ignore-classes中配置不被混淆的类 -->
  <ignore-classes>
    <!-- 配置了启动相关类不被混淆,保证springboot可以正常启动 -->
    <class template="class *Application*"/>

    <class template="class *springframework*"/>
    <class template="class *alibaba*"/>
    <class template="class *persistence*"/>
    <class template="class *apache*"/>

    <class template="class *model*"/>
    <class template="class *enums*"/>
    <class template="class *repository*"/>
  </ignore-classes>

  <keep-names>
    <!-- 防止部分类、方法、变量找不到名称而报错 -->
    <!-- 所有方法名称不变,parameters="keep"表示方法参数名也不变 -->
    <method template="*(**)" parameters="keep"/>
    <!-- com.a.b.c中的类以及其子包中的类的名称不变 -->
<!--    <class template="class com.a.b.c.*"/>-->
  </keep-names>

  <property name="log-file" value="log.xml"/>
</config>

还有很多配置可以参考官方文档:官网文档

  1. 打包

配置好之后就可以打包了,如下图所示

20200319181646959_6272.png

在根目录下执行命令:mvn package -DskipTests

当你看到下图时,说明多半你的代码已经混淆成功了,至于能不能用还有待验证
20200319181519149_15266.png
执行成功之后,在项目的target目录下会生成你想要的jar包
20200319181857489_19525.png

jar包拿出来就可以运行了,如果不能运行,就需要看一下错误信息,可能是某个类或方法不能做混淆,就需要在配置文件中配置相关类不被混淆

实际场景

实际工作中,我们的项目大部分情况下是在自己服务器上部署的,只有个别需要私有化部署的项目,所以我们希望在需要的时候打开混淆的开关,生成混淆后的jar包,不需要的时候就还按照原有的jar包生成。我相信有很多公司也是一样的情况,那下面我们继续探索吧。

方案一:
设置两个pom.xml通过maven打包配置 mvn package -f allatori-pom.xml,其中原pom.xml保持不变,在allatori-pom.xml中指定代码混淆的插件,在jenkins打包中可以通过配置,设置打包时指定pom文件
20200323134057160_17693.png

并把pom.xml参数化,可以在需要的时候打出混淆的包,不需要的时候指定默认的pom.xml即可
优点:清晰明了,在大部分不需要打代码混淆包的情况下比较实用,原pom不受影响,代码修改最小化
缺点:pom.xml无法继承或复用,新建的allatori-pom.xml需要维护,添加依赖时需要多次复制,否则可能在生成混淆包时打包错误

方案二:
pom文件还按照上面例子中修改,打包时指定-Dskip=true,指跳过代码混淆执行器,注意:插件exec-maven-plugin在1.5.0以前是有别名的,别名叫skip,可以通过-Dskip=true跳过执行器,1.5.0之后去掉了别名,需要通过-Dexec.skip=true跳过执行器,默认配置false
打包时通过jenkins配置,如下图:

20200323135315421_26515.png

20200323135344108_10747.png

优点:不需要考虑pom.xml维护问题,一次修改,终身受益

选择方案二,因为刚开始不知道有这个配置项的,所以暂时采用了方案一,后边翻看maven官网,并看了exec-maven-plugin源码后,发现了这个配置项,所以就改用第二种方案了。真香!

注意事项

1 如果代码里请求静态资源的方法,注意请求路径的写法。因为如果是第三步将混淆后的jar包导入项目,获取文件的相对路径可能会不一样

2 如果方法中有重定向等写法,主要不要将此内容进行混淆;

null_equals
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
SpringBoot模块项目proguard混淆
马志武的博客
02-06 1171
SpringBoot模块项目proguard代码混淆。proguard 是压缩、优化和混淆Java字节码文件的免费的工具。它可以删除无用的类、字段、方法和属性。可以删除没用的注释,最大限度地优化字节码文件。它还可以使用简短的无意义的名称来重命名已经存在的类、字段、方法和属性。常常用于混淆最终的项目,增加项目被反编译后的可读性。
Spring Boot + Allatori 代码混淆demo
02-27
基于Spring Boot,运用Allatori 6.4版本对代码进行混淆的demo。内含Allatori文档及详细工程。
使用Allatori对Spring Boot项目进行代码混淆
热门推荐
Lovnx
02-27 1万+
Allatori混淆技术介绍 Allatori是一个Java 混淆器,它属于第二代混淆器,因此它能够全方位的保护你的知识产权。 Allatori具有以下几种保护方式:命名混淆,流混淆,调试信息混淆,字符串混淆,以及水印技术。对于教育和非商业项目来说这个混淆器是免费的。支持war和jar文件格式,并且允许对需要混淆代码的应用程序添加有效日期。 有项目需要对代码进行保护,比较初级的方案就是对代码进行...
SpringBoot打包Jar并混淆
最新发布
weixin_51125521的博客
06-07 299
Jar包加密混淆
实用篇:springboot如何进行混淆加密(proguard+xjar)
SocaintC的博客
07-14 2879
XJarSpring-BootJAR包加密运行工具,避免源码泄露以及反编译。 springboot如何进行混淆加密(proguard+xjar)
SpringBoot 代码混淆真香,再也不用担心反编译代码泄露...
m0_71777195的博客
11-24 1417
简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的啥。比较常用的反编译工具 JD-GUI ,直接把编译好的jar丢进去,大部分都能反编译看到源码:那如果不想给别人反编译看自己写的代码呢?怎么做?该篇玩的代码混淆 ,是其中一种手段。我给你看,但你反编译看到的不是真正的代码。先看一张效果示例图 :开搞先看一下我们混淆一个项目代码,要做啥?
springboot如何进行混淆加密(proguard+xjar)
Spontaneous_0的博客
01-13 4958
springboot如何进行混淆加密(proguard+xjar)
SpringBoot项目——混淆加密
m0_46540897的博客
05-31 5410
SpringBoot项目——混淆加密 Java是一种跨平台的编程语言,代码运行之前会被JDK编译成字节码文件。在Java字节码中包括了很多源代码信息,比如变量名、方法名等等,并且通过这些名称来访问变量和方法,这些符号带有许多语义信息,很容易被反编译成Java源代码。平时我们在分发和部署项目的时候,为了保护我们自己的知识产权,通常要对Java代码进行混淆加密。 Oracle数据库是用Java开发的,如果代码混淆加密的话,任何人都能通过反编译程序,获取到Oracle的源代码。以Oracle的行事作风,所有影
Spring Boot使用Allatori代码混淆的方法
08-27
Allatori 是一款功能强大且易于使用的 Java 混淆器,它可以对我们的代码进行多方面的保护。下面我们将详细介绍 Spring Boot 使用 Allatori 代码混淆的方法。 Allatori 混淆技术介绍 Allatori 是一款 Java 混淆器,...
SpringBoot + proguard+maven多模块实现代码混淆
06-08
springboot多maven工程结构:proguard-root 是顶级父工程,proguard-modu01、proguard-mudu02是两个业务模块,proguard-server是springboot启动服务类模块,对proguard-modu01、proguard-mudu02两个模块实现proguard...
java反编译源码保护-confusion:SpringBoot项目使用Allatori代码混淆技术
06-05
有项目需要对代码进行保护,比较初级的方案就是对代码进行混淆,打包之后的文件进行反编译后,就可以看到效果。此外,使用Allatori打的包大小也会小一点。 工程介绍 一个很普通的maven工程,不同的是在根目录下加入...
使用Allatori代码进行加密
01-04
Java是一种跨平台的、解释型语言,Java源代码编译成中间“字节码”存储于class文件中。由于跨平台的需要,Java字节码中包括了很多源代码信息,如...为了防止这种现象,我们可以使用Java混淆器对Java字节码进行混淆
Maven项目混淆、瘦身、打包exe
m0_63823719的博客
03-28 2687
1.代码混淆使用的是ProGuard开源项目的插件2.项目瘦身采用的是将jar包和依赖项分离3.打成exe可执行文件使用的是javapackager。
spring boot混淆jar包
qq_38653209的博客
06-09 925
allatori.xml 配置 in 为原始jar包,out为混淆后的jar位置名称(自定义) <jar in="*.jar" out="*.jar"/> 打包时可能会有一些包找不到,可以建一个文件夹引入进来,我自己的配置是 library-jars文件夹 各文件的位置 配置完后使用maven clean package打包即可,打包完后target目录下会有两个jar,一个是maven打包的jar,一个是混淆后的jar 需要的jar,在分享的资
SpringBoot 多Module Proguard混淆(Gradle)
平凡岁月里星辰
04-16 2035
使用文档:https://www.guardsquare.com/manual/homeProGuard是一个压缩、优化和混淆Java字节码文件的免费的工具,它可以删除无用的类、字段、方法和属性。可以删除没用的注释,最大限度地优化字节码文件。它还可以使用简短的无意义的名称来重命名已经存在的类、字段、方法和属性。常常用于Android开发用于混淆最终的项目,增加项目被反编译的难度。压缩(Shrink):检测并删除未使用的类,字段,方法和属性。优化(Optimize):分析并优化方法的字节码。
Spring Boot 项目代码混淆,实战来了,再也不用担心代码泄露了!
Java技术栈,分享最主流的Java技术
04-05 650
点击关注公众号,Java干货及时送达学习 Spring Cloud 微服务的正确姿势!你的一个 ChatGPT 账号待查收。编译简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件反编译就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的啥。比较常用的反编译工具 JD-GUI ,直接把编译好的jar丢进去,大部...
springboot模块代码混淆
08-29
对于Spring Boot多模块项目的代码混淆,你可以考虑使用以下方法: 1. 使用ProGuard进行代码混淆:ProGuard是一个开源的Java代码混淆工具,它可以帮助你去除无用的类、字段和方法,并对类、字段和方法进行重命名,增加代码的安全性。你可以在每个模块的构建过程中集成ProGuard插件,并在构建过程中使用合适的配置文件来混淆代码。 2. 使用防护插件:Spring Boot提供了一些防护插件,如Spring Security和Spring Cloud Gateway等,可以帮助你对请求进行过滤和认证授权,保护代码的安全性。 3. 对敏感信息进行加密:如果你的项目涉及到敏感信息,如数据库密码、API密钥等,可以考虑使用加密算法来对这些信息进行加密存储,以增加其安全性。 4. 控制访问权限:在多模块项目中,你可以根据需要来控制各个模块之间的访问权限,只暴露必要的接口给外部调用,从而减少被恶意访问和利用的风险。 总之,多模块项目的代码混淆是一个综合性的问题,需要综合考虑各方面的安全性需求,并选择适合的方法和工具进行保护。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值