51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

SpringBoot 项目 Jar 包加密,防止反编译!

开发 项目管理
启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描。反编译只能看到方法名和注解,看不到方法体的具体内容。

场景

最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来。

方案

第一种方案使用代码混淆

采用proguard-maven-plugin插件。

在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。

第二种方案使用代码加密

采用classfinal-maven-plugin插件

此方案比对上面的方案来说,就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

ClassFinal项目源码地址:https://gitee.com/roseboy/classfinal

项目操作

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
        <plugin>
            <!--
                    1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                    2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                    3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                    4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                    5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                    6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
                -->
            <groupId>net.roseboy</groupId>
            <artifactId>classfinal-maven-plugin</artifactId>
            <version>1.2.1</version>
            <configuration>
                <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                <excludes>org.spring</excludes>
                <packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
                <cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
                <libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                <code>xxxx</code> <!-- 指定机器启动,机器码 -->
            </configuration>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>classFinal</goal>
                    </goals>
                </execution>
            </executions>
        </plugin>
    </plugins>

</build>

启动方式

无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

反编译效果

启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描。

反编译只能看到方法名和注解,看不到方法体的具体内容。

启动过程中解密class,完全内存解密,不留下任何解密后的文件。

图片图片

yml配置文件留下空白。

图片

绑定机器启动

下载到classfinal-fatjar-1.2.1.jar依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码。

图片

将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

责任编辑:武晓燕 来源: JAVA日知录
SpringJar项目
相关推荐
SpringBoot Jar 加密防止反编译实战
今天给大家分享一个SpringBoot程序Jar包加密的方式,通过代码加密可以实现无法反编译。

2024-09-14 07:00:28

SpringBoot代码反编译
小妙招:如何防止你的 jar 包被反编译
本文介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。

2021-12-17 14:27:52

jar反编译Java
Android反编译反编译工具和方法
开发过程中有些时候会遇到一些功能,自己不知道该怎么做,然而别的软件里面已经有了,这个时候可以采用反编译的方式,解开其他的程序,来了解一些它的做法,同时啊,还可以借鉴别人的软件结构,资源文件,等等,哈哈。那我就来讲解一些关于反编译相关的知识,主要分三篇,第一篇介绍反编译的工具和方法,第二篇,介绍smali的语法,第三篇介绍如何防止反编译...

2015-01-15 11:01:43

SpringBoot Jar与War启动的区别
SpringBoot提供了一个"无配置"的解决方案,使得开发人员可以快速地创建独立,自包含的应用程序,并且不需要额外的配置。SpringBoot项目可以使用两种方式启动:使用jar包或者使用war包。这两种方式在启动方式、打包方式、应用程序结构、部署方式等方面都有一些区别。

2023-09-01 08:26:06

SpringBootjar包war包
防止JAVA字节码反编译问题解决方案
防止JAVA字节码反编译这个问题在java语言雏形期就有了,尽管市面上存在一些反编译的工具可以利用,但是JAVA程序员还是不断的努力寻找新的更有效的方法来保护他们的智慧结晶。

2010-09-25 10:32:52

Java字节码
公司 Java项 目被反编译放到了网上,这四个方法可预防 jar反编译
Java作为解释型的语言,其高度抽象的特性意味其很容易被反编译,容易被反编译,自然有防止反编译措施存在。

2021-12-10 10:05:27

Java反编译jar
androidapk防止反编译技术第一篇-加壳技术
所谓apk的加壳技术和pcexe的加壳原理一样,就是在程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译,在程序运行的时候优先取得程序的控制权做一些我们自己想做的工作。

2015-07-20 16:37:11

android apk 防止反编译技术第一篇-加壳技术
所谓apk的加壳技术和pcexe的加壳原理一样,就是在程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译,在程序运行的时候优先取得程序的控制权做一些我们自己想做的工作。(哈哈,跟病毒的原理差不多)

2015-08-20 10:13:34

Android反编译方法
反编译主要的目的在于学习,利用反编译进行相关的汉化或修改,还是尽量不要吧,毕竟人家写个程序不容易啊!参考内容如下。

2011-05-31 14:52:13

Android 反编译 方法
Java编译反编译那些事
我们可以通过javac命令将Java程序的源代码编译成Java字节码,即我们常说的class文件,这是我们通常意义上理解的编译。

2021-03-07 16:31:35

Java编译反编译
Android 反编译 -smali语法
前面我们有说过android反编译的工具,如何进行反编译。反编译后可以得到jar或者得到smali文件。Android采用的是java语言进行开发,但是Android系统有自己的虚拟机Dalvik,代码编译最终不是采用的java的class,而是使用的smali。我们反编译得到的代码,jar的话可能很多地方无法正确的解释出来,如果我们反编译的是smali则可以正确的理解程序的意思。因此,我们有必要熟悉smali语法。

2015-01-15 10:15:16

Android反编译-smail语法
为什么SpringBoot可以直接运行 Jar
JAR文件格式以流行的ZIP文件格式为基础。与ZIP文件不同的是,JAR文件不仅用于压缩和发布,而且还用于部署和封装库、组件和插件程序,并可被像编译器和JVM这样的工具直接使用。在JAR中包含特殊的文件,如manifests和部署描述符,用来指示工具如何处理特定的JAR。

2022-02-13 20:31:26

SpringBootjarmanifests
Java代码的编译反编译
学习Java过程中,JDK的每个版本都会加入越来越多的语法糖,有些时候我们想知道Java一些实现细节,我们可以借助反编译。

2017-02-20 13:54:14

Java代码编译
反编译Android部署程序
因为学习Android编程的需要,我们有的时候要对网络上发布的项目进行学习,可是Android程序一般是通过apk发布的,我们看不到源代码,嘿嘿,办法总会有的,而且还不止一个

2011-05-31 14:38:04

Android 反编译
谈谈Java程序的反编译
Java是一种简单的,面向对象的,分布式的,解释型的,健壮安全的,结构中立的,可移植的,性能优异、多线程的动态语言。本文介绍Java程序的反编译,供参考。

2011-04-20 10:32:44

java反编译
Android程序反编译的方法
自我认为这篇文章不错,给大家推荐一下。

2011-05-31 14:18:17

Java反编译之代码混淆
Java反编译的一种很重要的方法是代码混淆,本文集中对其进行了介绍,可分为五个方面:符号混淆、数据混淆、控制混淆、控制流重组和预防性混淆。

2009-06-11 14:11:33

代码混淆Java反编译
浅析,反编译Android APK流程分享
作为公司的技术兼产品人员,看到别人开发的优秀AndroidAPK实在羡慕,在Android开发的过程,也很想去学习别人那些漂亮的动画和布局,或是产品逻辑等是怎么做的,所以最近学习了对APK的反编译,只做学习借鉴,提升产品竞争力,不为任何不法企图之用。

2015-07-13 15:52:18

反编译Android APK
Java反编译插件:Eclipse Class Decompiler
插件提供了系统菜单,工具栏,当打开了插件提供的类反编译查看器后,会激活菜单和工具栏选项,可以方便的进行首选项配置,切换反编译工具重新反编译,以及导出反编译结果。

2012-11-06 10:02:04

JavaJadEclipse
7 款开源 Java 反编译工具
今天我们要来分享一些关于Java的反编译工具,反编译听起来是一个非常高上大的技术词汇,通俗的说,反编译是一个对目标可执行程序进行逆向分析,从而得到原始代码的过程。

2014-09-25 10:28:02

反编译工具Java
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服