使用allatori对SpringBoot多模块代码进行混淆

使用allatori对SpringBoot多模块代码进行混淆

代码混淆介绍

1.由于项目需要私有化部署,为了保证代码的安全性,需要对springboot项目进项代码混淆,代码混淆顾名思义就是把代码变得让人看不懂,那么看不懂了又怎么运行呢,其实混淆主要混淆一些关键性的业务性代码,把关于业务逻辑的一部分代码变量名称变成a,b,c,d,e,f,g…就让人读起来很难理解。但是话又说回来,由于代码的特殊性,像mybatis一样,如果把变量名都改了,xml文件能映射到对象吗?答案是否定的。所以在代码混淆时需要排除掉一些可能会有问题的方法和类。下面就让我们一起来从零混淆一个springboot的项目吧。

官方案例

[官网](http://www.allatori.com/)
 可以先看一下官网的案例,解压官网给的demo:

20200319174413400_7710.png

20200319174648091_6084.png

在这里可以执行官网给的demo,并查看混淆后的代码。

当然如果你只有一个项目,并且混淆次数也不多,你也可以通过这种方式,把项目拷贝到这个目录,修改配置文件,手动执行混淆的脚本。也是没毛病的。
但是,我们既然是springboot项目,必然会有多个项目,如果这么搞是不是得搞死。。。。并且老大也不同意呀!所以,继续往下探索吧,我们要把混淆工具集成到idea中,通过mvn打包直接打出混淆后代码的包。

代码混淆集成IDE

  1. 首先,看一下项目的结构
    20200319175749497_8376.png

这里,我先拿一个项目my_springcloud中的一个子模块demo_service来做混淆,需要修改的地方已经标红了,一共3处:添加allatori.xml,修改pom.xml,添加allatori.jar (jar包可以在官网demo的lib目录拿到)

  1. pom.xml
 <build>
    <plugins>
      <plugin>
      <!-- springboot打包插件 -->
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
      <plugin>
      <!-- resouces拷贝文件插件 -->
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-resources-plugin</artifactId>
        <version>2.6</version>
        <executions>
        <!-- 执行这个插件的时候执行申明的所有phase -->
          <execution>
            <id>copy-and-filter-allatori-config</id>
            <phase>package</phase>
            <goals>
              <goal>copy-resources</goal>
            </goals>
            <configuration>
            <!-- 这个地方需要注意拷贝的文件位置需要是target目录,target目录是最终打jar包存放的位置 -->
              <outputDirectory>${basedir}/target</outputDirectory>
              <resources>
                <resource>
                <!-- 这个地方的文件目录需要注意,网上很多目录都是${basedir}/allatori这个,所以才会需要手动拷贝allatori.xml文件到target目录下,有了这个mvn会自动帮我们拷贝了 -->
                  <directory>src/main/resources</directory>
                  <includes>
                  <!-- 配置文件文件名 -->
                    <include>allatori.xml</include>
                  </includes>
                  <filtering>true</filtering>
                </resource>
              </resources>
            </configuration>
          </execution>
        </executions>
      </plugin>
      <plugin>
      <!-- 代码混淆打包插件 -->
        <groupId>org.codehaus.mojo</groupId>
        <artifactId>exec-maven-plugin</artifactId>
        <version>1.2.1</version>
        <executions>
          <execution>
            <id>run-allatori</id>
            <phase>package</phase>
            <goals>
              <goal>exec</goal>
            </goals>
          </execution>
        </executions>
        <configuration>
          <executable>java</executable>
          <arguments>
            <argument>-Xms128m</argument>
            <argument>-Xmx512m</argument>
            <argument>-jar</argument>
            <!-- 指定引用的allatori的jar包位置,这里把jar包放在了根目录下的lib目录里 -->
            <argument>../lib/allatori.jar</argument>
            <!-- 指定代码混淆时的配置文件,因为是混淆指定的是jar包,jar包位置在target下,所以我们的allatori.xml也需要拷贝到该目录下 -->
            <argument>${basedir}/target/allatori.xml</argument>
          </arguments>
        </configuration>
      </plugin>
    </plugins>
  </build>
  1. allatori.xml文件
<config>
  <input>
    <!-- in中是待混淆的jar包,out是混淆后的jar包,路径是相对本配置文件所在位置 -->
    <!-- 这个示例中,A.jar是工程jar包,B.jar是子模块jar包 -->
    <jar in="demo_service-0.0.1-SNAPSHOT.jar" out="demo_service-0.0.1-SNAPSHOT-obfuscated.jar"/>
    <!--    <jar in="../../B/target/B.jar" out="B.jar"/>-->
  </input>

  <!-- ignore-classes中配置不被混淆的类 -->
  <ignore-classes>
    <!-- 配置了启动相关类不被混淆,保证springboot可以正常启动 -->
    <class template="class *Application*"/>

    <class template="class *springframework*"/>
    <class template="class *alibaba*"/>
    <class template="class *persistence*"/>
    <class template="class *apache*"/>

    <class template="class *model*"/>
    <class template="class *enums*"/>
    <class template="class *repository*"/>
  </ignore-classes>

  <keep-names>
    <!-- 防止部分类、方法、变量找不到名称而报错 -->
    <!-- 所有方法名称不变,parameters="keep"表示方法参数名也不变 -->
    <method template="*(**)" parameters="keep"/>
    <!-- com.a.b.c中的类以及其子包中的类的名称不变 -->
<!--    <class template="class com.a.b.c.*"/>-->
  </keep-names>

  <property name="log-file" value="log.xml"/>
</config>

还有很多配置可以参考官方文档:官网文档

  1. 打包

配置好之后就可以打包了,如下图所示

20200319181646959_6272.png

在根目录下执行命令:mvn package -DskipTests

当你看到下图时,说明多半你的代码已经混淆成功了,至于能不能用还有待验证
20200319181519149_15266.png
执行成功之后,在项目的target目录下会生成你想要的jar包
20200319181857489_19525.png

jar包拿出来就可以运行了,如果不能运行,就需要看一下错误信息,可能是某个类或方法不能做混淆,就需要在配置文件中配置相关类不被混淆

实际场景

实际工作中,我们的项目大部分情况下是在自己服务器上部署的,只有个别需要私有化部署的项目,所以我们希望在需要的时候打开混淆的开关,生成混淆后的jar包,不需要的时候就还按照原有的jar包生成。我相信有很多公司也是一样的情况,那下面我们继续探索吧。

方案一:
设置两个pom.xml通过maven打包配置 mvn package -f allatori-pom.xml,其中原pom.xml保持不变,在allatori-pom.xml中指定代码混淆的插件,在jenkins打包中可以通过配置,设置打包时指定pom文件
20200323134057160_17693.png

并把pom.xml参数化,可以在需要的时候打出混淆的包,不需要的时候指定默认的pom.xml即可
优点:清晰明了,在大部分不需要打代码混淆包的情况下比较实用,原pom不受影响,代码修改最小化
缺点:pom.xml无法继承或复用,新建的allatori-pom.xml需要维护,添加依赖时需要多次复制,否则可能在生成混淆包时打包错误

方案二:
pom文件还按照上面例子中修改,打包时指定-Dskip=true,指跳过代码混淆执行器,注意:插件exec-maven-plugin在1.5.0以前是有别名的,别名叫skip,可以通过-Dskip=true跳过执行器,1.5.0之后去掉了别名,需要通过-Dexec.skip=true跳过执行器,默认配置false
打包时通过jenkins配置,如下图:

20200323135315421_26515.png

20200323135344108_10747.png

优点:不需要考虑pom.xml维护问题,一次修改,终身受益

选择方案二,因为刚开始不知道有这个配置项的,所以暂时采用了方案一,后边翻看maven官网,并看了exec-maven-plugin源码后,发现了这个配置项,所以就改用第二种方案了。真香!

注意事项

1 如果代码里请求静态资源的方法,注意请求路径的写法。因为如果是第三步将混淆后的jar包导入项目,获取文件的相对路径可能会不一样

2 如果方法中有重定向等写法,主要不要将此内容进行混淆;

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值