实现maven管理的Javaweb项目的proguard代码混淆功能

最新推荐文章于 2024-06-22 10:31:30 发布
最新推荐文章于 2024-06-22 10:31:30 发布
阅读量1k 收藏 1
点赞数
分类专栏: maven
  • 在网上找了很多关于代码混淆的例子,最终结合网上知识以及自己的项目实现了代码混淆,实现过程如下:1、在pom.xml文件的<build>   <finalName>as</finalName></build>中加入如下配置:<plugins>   <!--ProGuard混淆插件-->     &n

  • 在网上找了很多关于代码混淆的例子,最终结合网上知识以及自己的项目实现了代码混淆,实现过程如下:

    1、在pom.xml文件的

    <build>

        <finalName>as</finalName>

    </build>

    中加入如下配置:

    <plugins>

        <!-- ProGuard混淆插件-->

            <plugin>

                <groupId>com.github.wvengen</groupId>

                <artifactId>proguard-maven-plugin</artifactId>

                <version>2.0.11</version>

                <executions>

                    <execution>

                        <!-- 混淆时刻,这里是打包的时候混淆-->

                        <phase>package</phase>

                        <goals>

                            <!-- 使用插件的什么功能,当然是混淆-->

                            <goal>proguard</goal>

                        </goals>

                    </execution>

                </executions>

                <configuration>

                    <!-- 是否将生成的PG文件安装部署-->

                    <attach>true</attach>

                    <!-- 是否混淆-->

                    <obfuscate>true</obfuscate>

                    <!-- 指定生成文件分类 -->

                    <attachArtifactClassifier>pg</attachArtifactClassifier>

                    <options>

                        <!-- JDK目标版本1.7-->

                        <option>-target 1.7</option>

                        <!-- 不做收缩(删除注释、未被引用代码)-->

                        <option>-dontshrink</option>

                        <!-- 不做优化(变更代码实现逻辑)-->

                        <option>-dontoptimize</option>

                        <!-- 不路过非公用类文件及成员-->

                        <option>-dontskipnonpubliclibraryclasses</option>

                        <option>-dontskipnonpubliclibraryclassmembers</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->

                        <option>-allowaccessmodification</option>

                        <!-- 确定统一的混淆类的成员名称来增加混淆-->

                        <option>-useuniqueclassmembernames</option>

                        <!-- 不混淆所有包名,本人测试混淆后WEB项目问题实在太多,毕竟Spring配置中有大量固定写法的包名-->

                        <option>-keeppackagenames</option>

                        <!-- 不混淆所有特殊的类-->

                        <option>-keepattributesExceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>

                        <!-- 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射-->

                        <option>-keepclassmemberspublic class * {void set*(***);*** get*();}</option>

     

                        <!-- com.test.prog.util, util包不混淆的类的属性及方法,实体包 -->

                        <option>-keep classcom.zykj.dbCon.DBConnect{ *; }</option>

     

                        <!-- 不混淆凭证包下的所有类名,但对类中的属性、方法进行混淆,原因是Spring配置中用到了这个类名-->

                        <option>-keep classcom.zykj.util.Tools</option>

                        <option>-keep classcom.zykj.httpClient.HttpDeal</option>

                       

                        <!-- 不混淆job包下的所有类名,且类中的方法也不混淆-->

                        <option>-keep classcom.zykj.controller.** { &lt;methods&gt;; }</option>

                    </options>

                    <outjar>${project.build.finalName}-pg.jar</outjar>

                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->

                    <libs>

                        <lib>${java.home}/lib/rt.jar</lib>

                        <lib>${java.home}/lib/jce.jar</lib>   

                        <lib>${java.home}/lib/security/local_policy.jar</lib> 

                        <lib>${java.home}/lib/security/US_export_policy.jar</lib>

                        <lib>${java.home}/lib/ext/sunjce_provider.jar</lib>

                    </libs>

                    <!-- 加载文件的过滤器,就是你的工程目录了-->

                    <inFilter>com/zykj/**</inFilter>

                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->

                    <injar>classes</injar>

                    <!--<injar>${project.build.finalName}/WEB-INF/classes/</injar> -->

                    <!-- 输出目录-->

                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>

            </plugin>

        </plugins>

        <resources>

            <resource>

                <directory>src/main/resources</directory>

                <includes>

                    <include>**/*.properties</include>

                    <include>**/*.xml</include>

                </includes>

            </resource>

            <resource>

                <directory>src/main/java</directory>

                <excludes>

                    <exclude>**/*.java</exclude>

                    <exclude>**/.svn/*</exclude>

                </excludes>

            </resource>

        </resources>

    2、在myeclipse中右键项目选择Run As-Maven build. . .

    在Goals中填写cleanpackage -DskipTests -X / clean package -DskipTests

    点击按钮Run

    3、在项目的target目录下生成如下几个文件:

    其中

    classes-pg.jar 混淆后的classes文件,里面包含完整的项目结构

    proguard_map.txt 混淆内容的映射

    proguard_seed.txt 参与混淆的类 

    4、将classes-pg.jar解压如下:

    其中com文件夹就是混淆后的类文件夹(内容为混淆后的class文件)。

    5、利用myelicpse打包整个项目成war包,用winrar或者好压打开war包,找到WEB-INF\classes下的com文件夹,将解压出来的com文件夹及其内容替换之。

    6、把war放到服务器上运行,生成的class文件就是混淆文件了。

 

仅做记录之用。  

  java代码可以反编译,因此有时候要保护自己的知识产权还真得费点心思,一般来说有三个思路:

  1、将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件;

  2、使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般,还是有花指令破解器;

  3、代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合;

  我们项目中用到的即为代码混淆工具ProGuard,相关文章参考:

  http://blog.csdn.net/wltj920/article/details/48970869

  http://blog.csdn.net/earbao/article/details/51000108

  ProGuard是一个纯java编写的混淆工具,有客户端跟jar包两种使用方式。可以将程序打包为jar,然后用工具进行混淆,也可以在maven中导入ProGuard的插件,对代码进行混淆。本例中为对普通javaweb项目进行代码混淆。maven配置插件如下:

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

<!-- ProGuard混淆插件-->

<plugin>

   <groupId>com.github.wvengen</groupId>

   <artifactId>proguard-maven-plugin</artifactId>

   <version>2.0.11</version>

   <executions>

      <execution>

         <!-- 混淆时刻,这里是打包的时候混淆-->

         <phase>package</phase>

         <goals>

            <!-- 使用插件的什么功能,当然是混淆-->

            <goal>proguard</goal>

         </goals>

      </execution>

   </executions>

   <configuration>

      <!-- 是否将生成的PG文件安装部署-->

      <attach>true</attach>

      <!-- 是否混淆-->

      <obfuscate>true</obfuscate>

      <!-- 指定生成文件分类 -->

      <attachArtifactClassifier>pg</attachArtifactClassifier>

      <options>

         <!-- JDK目标版本1.8-->

         <option>-target 1.8</option>

         <!-- 不做收缩(删除注释、未被引用代码)-->

         <option>-dontshrink</option>

         <!-- 不做优化(变更代码实现逻辑)-->

         <option>-dontoptimize</option>

         <!-- 不路过非公用类文件及成员-->

         <option>-dontskipnonpubliclibraryclasses</option>

         <option>-dontskipnonpubliclibraryclassmembers</option>

         <!--不用大小写混合类名机制-->

         <option>-dontusemixedcaseclassnames</option>

 

         <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->

         <option>-allowaccessmodification</option>

         <!-- 确定统一的混淆类的成员名称来增加混淆-->

         <option>-useuniqueclassmembernames</option>

         <!-- 不混淆所有包名-->

         <!--<option>-keeppackagenames</option>-->

 

         <!-- 需要保持的属性:异常,注解等-->

         <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>

         <!-- 不混淆所有的set/get方法->

         <!--<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>-->

 

         <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->

         <option>-keep class com.xxx.xxx.bboss.SystemConfig { <methods>; }</option>

         <option>-keep class com.xxx.xxx.framework.** { *; }</option>

         <option>-keep class com.xxx.xxx.xxx.controller.** { <methods>; }</option>

         <option>-keep class com.xxx.xxx.xxx.dao.** { <methods>; }</option>

         <option>-keep class com.xxx.xxx.xxx.exception { <methods>; }</option>

         <option>-keep class com.xxx.xxx.xxx.model.** { <methods>; }</option>

 

      </options>

      <!--class 混淆后输出的jar包-->

      <outjar>classes-autotest.jar</outjar>

      <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->

      <libs>

         <lib>${java.home}/lib/rt.jar</lib>

      </libs>

      <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->

      <injar>classes</injar>

      <!-- 输出目录-->

      <outputDirectory>${project.build.directory}</outputDirectory>

   </configuration>

</plugin>

  运行 mvn clean package -DskipTests

  混淆后结果如图所示:

  classes-pg.jar为混淆后的classes文件,里边包含完整的项目结构

  proguard_map.txt混淆内容映射

  proguard_seed.txt参与混淆的类

  混淆后反编译代码如下:

 

  可以看到,部分包名跟类名已经被改为了简单字母,不再具有业务含义,而且变量名也进行了修改,增加了阅读代码难度。

  运行服务,项目正常运行。

  需要注意的问题:

  1、因为有时候会配置不保持包名或类名,因此一些相关配置文件的内容需要改变,好在ProGuard不是随机生成类名,而是先按照原名称对相同包下类进行排序,混淆后的类名称依次为a.class,b.class,c.class.....

那么问题来了,当包中超过26个类时,默认命名为A.class,B.class,C.class,在某些操作系统下,会不区分class文件名称的大小写,会导致错误(水平所限,未深入探究跟类加载相关);因此

  <!--不用大小写混合类名机制-->

  <option>-dontusemixedcaseclassnames</option>

  配置极为关键,该配置会在超过26个类文件时,命名为aa.class,ab.class,ac.class,而不是原来的大写类名,从而避免错误。

  2、打包部署问题。该配置文件打包出来的war中classes文件仍然为正常代码,需要手动解压,将classes-pg.jar中classes替换进去,在工程化管理的情况下,可以在jenkins中配置脚本,自动将混淆后的classes替换进war包:

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

#更改war包classes为混淆包的内容

cd /root/.jenkins/workspace/mytest_master/target

jar -xvf classes-pg.jar

rm -rf mytest

mkdir mytest

mv mytest.war mytest

cd mytest/

jar -xvf mytest.war

rm -rf WEB-INF/classes/com/

cd ../

 

cp -rf com mytest/WEB-INF/classes/

cd mytest

jar -cvfM0 mytest.war ./

mv mytest.war ../

这样jenkins打出的就是混淆后的war包了,可以直接交给客户使用。

weixin_39214481
关注
专栏目录
java maven 混淆_maven混淆Java代码
weixin_33108105的博客
02-16 1191
Maven 环境下使用 proguard-maven-plugin 插件混淆你的源码一、场景介绍两个工程 Project1,Project2(将被混淆的工程)。Project1 将通过 Maven 依赖配置的方式引用混淆后的 Project2。后面我会详细介绍 pom.xml 的配置。二、Maven 配置1、Project1 的 pom.xml该 pom.xml 比较简单主要通过classifi...
Java+IDEA+maven混淆打包
03-15
IDEA中使用maven打jar包,然后使用工具混淆代码,亲测有效
使用 ProGuard 混淆你的 Java 代码
最新发布
初夏0811的博客
06-22 1万+
ProGuard 是一款流行的 Java 代码混淆工具,可以混淆和优化你的代码,使其更难被反编译和分析。混淆通过重命名类、方法和变量名称来实现,从而增加反编译代码的难度。使用 ProGuard 混淆你的 Java 代码可以增加反编译和分析代码的难度,从而保护你的知识产权。通过使用 Maven 中的 proguard-maven-plugin,你可以轻松地将 ProGuard 集成到你的构建过程中。
allatori第二代Java代码混淆Maven打包配置,依赖库,以及配置文件
08-09
allatori第二代Java代码混淆Maven打包配置,依赖库,以及配置文件。示例运行,可行。
java web 代码混淆_使用proguard混淆java web项目代码
weixin_39637059的博客
02-12 224
-injars 'Y:\src.jar' #需要混淆的jar-outjars 'Y:\java\src.jar' #输出jar-libraryjars 'C:\java\jre6\lib\rt.jar' #必须的系统类库-libraryjars 'Y:\kf\WebRoot\WEB-INF\lib\activation-1.1.jar' #项目需要的jar-libraryjars 'Y:\kf\W...
java 混淆war,java yguard混淆web工程
weixin_39609822的博客
03-12 340
用yguard来混淆java web工程,只需要一个ant脚本,用maven也可以,不过没试过。下面的例子会混淆自己开发的jar包,所有开发的class都打成jar包放到WEB-INF/lib/了,这是因为yguard只能混淆jar包,WEB-INF/classes/下放的是一些配置文件。混淆后配置文件中的类名也会一起改(可以配置不改),用的是ant1.9,maven3.0.5,注:所有文件均ut...
springboot工程(单个maven工程)利用proguard实现代码混淆
06-05
ProGuard 是一个混淆代码的开源项目,它的主要作用是混淆代码ProGuard 包括以下 4 个功能: 压缩(Shrink):检测并移除代码中无用的类、字段、方法和特性(Attribute) 优化(Optimize):对字节码进行优化,移除无用...
springboot工程(单个maven工程)利用proguard实现代码混淆 java demo案例
06-05
本案例是一个Spring Boot单个Maven工程,通过ProGuard实现代码混淆的实践示例。首先,我们需要了解ProGuard的基本配置和使用方法。ProGuard的配置文件通常命名为`proguard.cfg`,在该文件中,我们可以定义混淆规则,...
SpringBoot + proguard+maven多模块实现代码混淆
06-08
springboot多maven工程结构:proguard-root 是顶级父工程,proguard-modu01、proguard-mudu02是两个业务模块,proguard-server是springboot启动服务类模块,对proguard-modu01、proguard-mudu02两个模块实现proguard...
如何混淆JavaWeb代码
Deng2012web的专栏
04-12 921
最近在公司项目打包过程中要求要对项目中的代码进行混淆,使反编译之后看到的代码的类的名称,成员变量,函数名称都变成无意义的a,b,c...造成阅读代码的障碍,这也是核心技术保护的一种方法,java中比较常用代码混淆工具就是proguard,自己在使用过程中也遇到了一些问题,所以将使用过程记录下来,以作备忘。 主要步骤如下: 将web项目中的源码导出为jar,eclipse中可以很容易做到 下载p...
IDFC Maven ProGuard Plug-in:一个通过ProGuard混淆Java代码Maven插件-开源
04-25
该插件使您可以使用ProGuard开源混淆器来混淆Maven工件,ProGuard开源混淆器是一种非常强大且完善的Java混淆器。 也可以在SourceForge的http://proguard.sourceforge.net/上找到ProGuard。 可以从您的POM使用此插件,如下所示: com.idfconnect.devtools idfc-proguard-maven-plugin 1.0.1 Apache MavenMaven,Apache,Apache Feather徽标和Apache Maven项目徽标是The Apache Software Foundation的商标。
很强大的java代码混淆工具 Jocky
09-30
大家熟知的Progaurd只能对class文件进行混淆,也就是必须先把java源码编译为class文件,然后再进行混淆 Jockey跟其他混淆工具不同的是:它是直接对编译过程做文章,也就是在把java文件编译为class文件的过程中对代码进行混淆混淆后的代码中包含很多JVM 指令,大家知道JVM指令是面向机器的,人类一般很难看懂!。">大家熟知的Progaurd只能对class文件进行混淆,也就是必须先把java源码编译为class文件,然后再进行混淆 Jockey跟其他混淆工具不同的是:它是直接对编译过程做文章,也就是在把java文件编译为class文件的过程中对代码进行混淆,混? [更多]
java容易混淆的知识点,Java-web混淆知识点整理
weixin_32006655的博客
03-22 102
Java-web混淆知识点:post和get区别,相对路径和绝对路径,重定向和请求转发区别,Cookie和session的区别,jsp内置对象和EL内置对象的区别与联系,四大域对象的区别,活化与钝化,jsp九大内置对象,EL内置对象reJava-web混淆知识点post和get区别post:数据不会显示在地址栏安全大小无限制可以提交二进制文件get:数据显示在地址栏不安全get方式提交有大小限...
JavaWeb 混淆代码
lh19900706的博客
01-24 148
首先使用fat-jar进行打包 [url]http://blog.csdn.net/wyp_810618/article/details/7168099[/url]
JAVA WEB部分易混淆问题总结
java_龙
03-09 225
前言        最近在看了一些java基础问题,顺便将这段时间看到的容易混淆和已忘记的问题进行整理总结一下. 接下来会再写一些数据库方面易混淆或者不常用易忘记的问题梳理     上一篇是java基础方面易混淆问题总结:  https://my.oschi...
java web项目混淆
lk617238688的专栏
06-16 695
最近几天一直在研究java web项目混淆以及打成.exe的例子,老板发话了咱认真做事。 入主题: 一、java web项目混淆 网上翻来复去找来proguard4.8工具,说是支持war的,可混淆过后少了classes目录了,自然成功不了。网上搜的过程不详说了,最后找着--“J2EE-web工程ProGuard代码混淆07_28”,网址:http://wenku.baidu.com/lin...
java web代码混淆_JAVA WEB 项目代码混淆
weixin_39689687的博客
02-15 1013
前言曾几何时认为世界多么的美好,可事实上虽有美好,但糟粕也是很多的,近期我们的项目,终端系统要部署到客户那里,让人没想到的是作为国内某知名专家的项目团队几乎原样将我们的宣传材料、业务流程照搬过去,着实令人汗颜,所以对项目源码的保护必须提上日程。项目web项目。一、选择加密工具经过筛选,最终选择了proguard加密工具。ProGuard是一个压缩、优化和混淆Java字节码文件的免费的工具,它可以...
eclipse java 混淆_eclipse 配置ProGuard混淆例外
weixin_29174385的博客
02-15 191
J2me 最后生成的Jar包的大小很重要,使用ProGuard会有效减小Jar包的大小,有的时候做混淆的时候我们希望部分代码不需要混淆 尝试了半天,终于搞定了,方法总结如下!!首先贴一下ProGuard的一些参数:参数:-include {filename} 从给定的文件中读取配置参数-basedirectory {directoryname} 指定基础目录为以后相对的档案名称-injars {c...
springboot + proguard+maven多模块实现代码混淆
08-30
Spring Boot是一个开发框架,用于简化基于Java的应用程序的开发和部署。它提供了一个自动化配置的方式来简化开发过程,同时也提供了一些常用的功能模块,如安全、数据库连接等。 ProGuard是一个代码混淆工具,用于保护Java代码免受逆向工程和代码分析的攻击。它通过对代码进行优化和混淆,使得反编译后的代码难以理解和修改,从而增加了代码的安全性。 Maven是一个项目管理工具,用于构建、发布和管理Java项目的依赖关系。它可以帮助我们方便地管理项目的依赖关系,包括第三方库和插件。同时,它还提供了一些命令和配置,来支持多模块的项目结构。 在使用Spring Boot、ProGuardMaven实现代码混淆时,我们可以按照以下步骤进行操作: 1. 在Maven中创建一个多模块的项目结构。通过使用Maven的父子项目关系,我们可以在一个主项目管理多个子模块。 2. 在子模块中引入Spring Boot和ProGuard的依赖。在子模块的pom.xml文件中,添加对Spring Boot和ProGuard的相关依赖配置。 3. 配置ProGuard混淆规则。在子模块中创建一个proguard.cfg文件,并添加相关的混淆规则。这些规则可以用于指定哪些类、方法和字段需要进行混淆,以及如何进行混淆。 4. 在Maven的构建过程中,添加对ProGuard的插件配置。通过对Maven的插件进行配置,使得在构建项目时自动应用ProGuard混淆规则。 5. 构建和执行项目。在Maven中使用命令进行项目的构建和执行,观察代码是否已经被混淆。如果一切顺利,你将会得到一个经过混淆代码。 综上所述,通过使用Spring Boot、ProGuardMaven,我们可以实现Java代码混淆保护。这种方式可以增加代码的安全性,防止代码被逆向工程和代码分析的攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值