Q:为啥使用混淆?
- 加大反编译理解业务逻辑和代码难度
- 减少文件大小
Q:怎么使用?
- 参考 proguard.conf (里面有相关配置的说明)
- 复制到跟pom.xml同一层级
- 修改pom.xml ,复制 proguard-maven-plugin 到 里面
- 执行mvn clean package
- 打包出来的jar就是混淆后的文件
- 通过jd-gui查看是否混淆和混淆的效果
proguard.conf 配置如下
#指定Java的版本
-target 17
#proguard会对代码进行优化压缩,他会删除从未使用的类或者类成员变量等
-dontshrink
#是否关闭字节码级别的优化,如果不开启则设置如下配置
-dontoptimize
#保持目录结构,否则spring的自动注入无法使用
#-keepdirectories
# 对于类成员的命名的混淆采取唯一策略
#-useuniqueclassmembernames
#混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代
-adaptclassstrings
#混淆时不生成大小写混合的类名,默认是可以大小写混合
#-dontusemixedcaseclassnames
#对异常、注解信息予以保留
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod
# 此选项将保存接口中的所有原始名称(不混淆)-->
-keepnames interface ** { *; }
#保留参数名,因为控制器,或者Mybatis等接口的参数如果混淆会导致无法接受参数,xml文件找不到参数
-keepparameternames
# 保留枚举成员及方法
#-keepclassmembers enum * { *; }
# 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射
#-keepclassmembers public class * {void set*(***);*** get*();}
# 不混淆所有类,保存原始定义的注释-
-keepclassmembers class * {
@org.springframework.context.annotation.Bean *;
@org.springframework.beans.factory.annotation.Autowired *;
@org.springframework.beans.factory.annotation.Value *;
@org.springframework.stereotype.Service *;
@org.springframework.stereotype.Component *;
@org.springframework.scheduling.annotation.Scheduled *;
}
#保留Serializable序列化的类不被混淆
-keepclassmembers class * implements java.io.Serializable {*;}
#忽略warn消息
-ignorewarnings
#忽略note消息
-dontnote
#打印配置信息
-printconfiguration
#需要保留的文件
-keep class com.zxy.mes.cnc.kslj.json.* {*;}
-keep class com.**.dao.* {*;}
-keep class com.**.entity.* {*;}
-keep class com.**.dto.* {*;}
-keep class com.**.controller.* {*;}
#所有集成BaseService的类保留名称
-keepnames class * extends com.zxy.mom.sdk.common.service.
#保留启动类
-keep public class com.zxy.mes.cnc.kslj.CncKSLJMesApp {*;}
proguard-maven-plugin 配置如下:
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.6.0</version>
<executions>
<!-- 以下配置说明执行mvn的package命令时候,会执行proguard-->
<execution>
<phase>package</phase>
<goals>
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 就是输入Jar的名称,我们要知道,代码混淆其实是将一个原始的jar,生成一个混淆后的jar,那么就会有输入输出。 -->
<injar>${project.build.finalName}.jar</injar>
<!-- 输出jar名称,输入输出jar同名的时候就是覆盖,也是比较常用的配置。 -->
<outjar>${project.build.finalName}.jar</outjar>
<!-- 是否混淆 默认是true -->
<obfuscate>true</obfuscate>
<!-- 配置一个文件,通常叫做proguard.conf,该文件主要是配置options选项,也就是说使用proguard.cfg那么options下的所有内容都可以移到proguard.cfg中 -->
<proguardInclude>${project.basedir}/proguard.conf</proguardInclude>
<!-- 额外的jar包,通常是项目编译所需要的jar -->
<libs>
<lib>${java.home}/</lib>
</libs>
<!-- 对输入jar进行过滤比如,如下配置就是对META-INFO文件不处理。 -->
<inLibsFilter>!META-INF/**</inLibsFilter>
<!-- 这是输出路径配置,但是要注意这个路径必须要包括injar标签填写的jar -->
<outputDirectory>${project.basedir}/target</outputDirectory>
<!--这里特别重要,此处主要是配置混淆的一些细节选项,比如哪些类不需要混淆,哪些需要混淆-->
<options>
<!-- 可以在此处写option标签配置,不过我上面使用了proguardInclude,故而我更喜欢在proguard.cfg中配置 -->
</options>
</configuration>
</plugin>
说明:
混淆的工具是proguard 。
详细的使用,查看proguard使用手册
因为proguard是服务于android的工具,实际使用,我们是基于maven的插件来使用的。
插件的地址是 proguard-maven-plugin
反编译jar的工具是jd-gui
注意事项:
因为spring的bean加载机制,controller和service里面的类名没混淆。可以覆盖默认的bean名,有很多问题。混淆暂时不混淆类名