SpringBoot 项目 Jar 包加密,防止反编译

原创 已于 2024-08-27 09:44:53 修改 · 1.7k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #jar #java

于 2024-08-27 09:43:33 首次发布

第一种方案使用代码混淆

采用proguard-maven-plugin插件

在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。

第二种方案使用代码加密

采用classfinal-maven-plugin插件

此方案比对上面的方案来说,就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
        <plugin>
            <!--
                1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
            -->
            <groupId>net.roseboy</groupId>
            <artifactId>classfinal-maven-plugin</artifactId>
            <version>1.2.1</version>
            <configuration>
                <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                <excludes>org.spring</excludes>
                <packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
                <cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
                <libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                <code>xxxx</code> <!-- 指定机器启动,机器码 -->
            </configuration>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>classFinal</goal>
                    </goals>
                </execution>
            </executions>
        </plugin>
    </plugins>
</build>

无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

反编译效果

启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描

反编译只能看到方法名和注解,看不到方法体的具体内容

启动过程中解密class,完全内存解密,不留下任何解密后的文件

yml配置文件留下空白

绑定机器启动

下载到classfinal-fatjar-1.2.1.jar [2]依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码

将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

liuyang77886
关注
Spring Boot Jar加密终极方案:防反编译/防篡改/动态加载全解析
墨夶的博客
07-06 467
Spring Boot项目加密实战指南》摘要: 本文介绍了Spring Boot项目全流程加密方案,涵盖字节码、配置文件与动态密钥管理。通过ClassFinal实现核心代码字节码加密,Jasypt保护敏感配置,结合Hutool完成动态解密。重点解析了Maven插件配置、自定义ClassLoader实现运行时解密,以及通过环境变量注入密钥的安全启动方案。此外,提供资源完整性校验等高级特性,防止篡改攻击。该方案兼顾易用性与安全性,适用于需代码保护的商业项目部署。
SpringBoot项目Jar加密,防止反编译
wjianwei666的专栏
07-19 1277
- 加密的配置文件,多个用逗号分开 -->6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar
Spring Boot项目Jar加密防止反编译的安全实践
热门推荐
学IT,找陈寒
12-28 1万+
Spring Boot项目Jar加密是一种有效的安全实践,可以防止源代码被轻易反编译。然而,开发者在选择和实施加密方案时需要综合考虑安全性、性能和维护成本。加密只是安全防护的一环,建议将其与其他安全措施结合使用,形成完整的安全体系。未来,随着技术的不断发展,我们也可以期待更多更先进的安全方案出现,为软件开发提供更多保障。希望本文对你在项目中使用Spring Boot进行Jar加密有所帮助。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线。
springboot项目根据xjar插件加密jar(不用go环境)
qq_43043092的博客
08-18 1970
springboot项目根据xjar插件加密jar(不用go环境)
SpringBoot项目Jar进行加密防止反编译
sunjie12311的博客
11-04 1820
最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去,要求对正式环境的启动进行安全性处理,防止客户直接通过反编译工具将代码反编译出来,本文介绍了如何对SpringBoot项目Jar进行加密防止反编译,需要的朋友可以参考下。
SpringBoot Jar 加密防止反编译
peach_garden的博客
10-08 2005
SpringBoot 程序 Jar 加密的方式,通过代码加密可以实现无法反编译防止客户直接反编译出来源码,或者获取配置信息,大大提升代码的安全性
SpringBoot开发——Jar 加密防止反编译
bjzhang75的博客
11-20 1709
SpringBoot开发——Jar 加密防止反编译
使用xjarSpring-Boot JAR 加密运行工具,避免源码泄露以及反编译
12-21
目录 1 Xjar 介绍 2 如何使用 xjar v2.06 2.1 导入pomx (可以的话直接看3)  不行接着往下 2.2  2.2    自己去maven 下载jar  2.3  跳过2.1 的废话,直接下载 xjar  和  loadkit 且安装到本地 3 编写代码对已有spring boot jar 进行加密操作 4 懒人方案 5 java 反编译工具 1 Xjar 介绍 Spring Boot JAR 安全加密运行工具,同时支持的原生JAR。 基于对JAR内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露或反编译。 功能
SpringBoot项目Jar加密防止反编译详细讲解(值得珍藏)
01-27
SpringBoot项目的安全性是...总之,对SpringBoot项目Jar进行加密是提高代码安全性的有效途径,但需谨慎处理以保持程序的性能和可维护性。通过合理地运用代码混淆和字节码加密,可以为项目构建一道有效的防护屏障。
SpringBoot项目Jar加密防止反编译
m0_74823827的博客
01-01 610
此方案比对上面的方案来说,就简单了许多。在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目
jar加密防止反编译
11-16
Java加密Jar和Class文件防止反编译的方法,此为防止反编译程序,亲测可用。如果大神有啥破解方法,希望能与楼主分享下,谢谢。
springboot工程jar加密
03-24
总之,"springboot工程jar加密"是一个关于保护Java应用安全的重要主题,通过使用工具如xjar,我们可以有效地加密jar防止源代码泄露,确保应用在生产环境中的安全运行。在实际操作中,应结合项目需求和安全策略...
SpringBoot如何防止反编译?proguard+xjar 完美搞定
良月柒
02-18 2490
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 16分钟。来自:blog.csdn.net/mawei7510/article/details/130828709一、背景项目组核心代码模块部署于用户服务器上,直接甩jar到服务器的方式,极有可能导致数据泄露和代码泄露,为了防止有技术能力的用户反编译我们的程序,采用了proguard和xjar两种方式来混淆和加密jar。注...
java项目jar加密防止反编译代码
lqs_user的博客
01-09 9870
文章来源:https://juejin.cn/post/7291846601651273769
(亲测有效)Spring Boot项目Jar加密防止反编译
weixin_40097029的博客
11-01 1893
最近Java项目要求部署到客户服务器上,但担心泄露源码。要求对正式环境的启动进行安全性处理,防止客户通过反编译获取源代码。混淆只是把类名、方法名、参数名替换成a、b、c等字母,实际处理逻辑没有改动。使用此种加密方式还需要对springboot项目打包做单独处理.亲测有效,如果需要docker容器下启动项目可留言联系。
SpringBoot Jar 加密防止反编译实战
醉鱼的博客
09-14 1883
今天给大家分享一个 SpringBoot 程序 Jar 加密的方式,通过代码加密可以实现无法反编译。应用场景就是当需要把公司的产品部署到友方公司或者其他公司时,可以防止客户直接反编译出来源码,大大提升代码的安全性。
JVMTI实现SpringBootjar加密防止反编译
weixin_43155301的博客
02-21 5796
JVMTI实现SpringBootjar加密防止反编译
springboot maven打包 加密 防止反编译
最新发布
08-23
<think>我们正在讨论Spring Boot应用使用Maven构建时如何加密代码以防止反编译。用户希望保护他们的Java代码,避免被反编译工具轻易逆向工程。下面我将逐步介绍几种可行的方案,说明如何在Maven项目中实施。 ### 方案1: 使用代码混淆工具(如ProGuard) 代码混淆是最常用的保护Java代码的方法之一。它通过重命名类、方法和字段,删除无用的元数据,以及优化字节码来使反编译后的代码难以阅读。 **步骤:** 1. **在Maven项目中集成ProGuard** 首先,在`pom.xml`中添加ProGuard Maven插件: ```xml <build> <plugins> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.6.0</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <obfuscate>true</obfuscate> <injar>${project.build.finalName}.jar</injar> <outjar>${project.build.finalName}-small.jar</outjar> <outputDirectory>${project.build.directory}</outputDirectory> <proguardInclude>${basedir}/proguard.conf</proguardInclude> <libs> <lib>${java.home}/lib/rt.jar</lib> </libs> </configuration> </plugin> </plugins> </build> ``` 2. **配置ProGuard规则** 在项目根目录下创建`proguard.conf`文件,配置混淆规则。例如: ``` -dontshrink -dontoptimize -keepparameternames -keep public class com.example.MainApplication { public static void main(java.lang.String[]); } -keepclassmembers class * { @org.springframework.context.annotation.Bean *; @org.springframework.stereotype.Service *; @org.springframework.stereotype.Component *; } ``` 此配置保留Spring Boot的入口类和注解的Bean,避免破坏Spring的依赖注入。 3. **构建项目** 运行Maven命令打包: ```bash mvn clean package ``` 构建完成后,会在`target`目录下生成混淆后的JAR文件(如`your-app-small.jar`)。 ### 方案2: 使用商业级代码保护工具(如Jscrambler, DexGuard) 对于更高级的保护(如控制流混淆、字符串加密等),可以考虑商业工具。这些工具提供更强大的保护,但通常需要付费。 **以Jscrambler为例:** 1. 在Jscrambler官网注册获取配置。 2. 在Maven中集成Jscrambler插件(参考官方文档)。 3. 配置保护规则构建。 ### 方案3: 使用类文件加密工具(如ClassFinal) [ClassFinal](https://github.com/roseboy/classfinal) 是一款基于字节码转换的Java类文件加密工具,支持Spring Boot项目。它通过对JAR中的类文件加密在启动时通过Java Agent解密,从而防止直接反编译。 **步骤:** 1. **在Maven项目中集成ClassFinal** ```xml <plugin> <groupId>net.roseboy</groupId> <artifactId>classfinal-maven-plugin</artifactId> <version>1.2.1</version> <configuration> <password>your-password</password> <!-- 加密密码 --> <packages>com.yourpackage</packages> <!-- 加密--> <excludes>org.spring</excludes> <!-- 排除的--> </configuration> <executions> <execution> <phase>package</phase> <goals> <goal>classFinal</goal> </goals> </execution> </executions> </plugin> ``` 2. **构建项目** 运行`mvn clean package`,会在`target`目录生成两个文件: - `original-your-app.jar`: 原始JAR - `your-app-encrypted.jar`: 加密后的JAR(内含启动代理) 3. **运行加密后的JAR** 使用以下命令运行: ```bash java -javaagent:your-app-encrypted.jar='-pwd your-password' -jar your-app-encrypted.jar ``` ### 方案4: 自定义类加载器加密 如果对安全性要求极高,可以自定义类加载器,在类加载时解密字节码。这种方法需要: 1. 编写一个自定义类加载器,重写`findClass`方法,在其中解密字节码。 2. 使用工具(如Maven插件)在构建时加密所有类文件。 3. 将自定义类加载器作为入口,启动应用。 ### 注意事项 - **性能影响**:混淆和加密可能影响启动速度和运行性能,需测试。 - **兼容性**:确保保护工具与Spring Boot、第三方库兼容。 - **备份**:保留未混淆/未加密的原始代码,避免丢失。 ### 总结 以上方案中,ProGuard和ClassFinal是较为常用的免费方案。ProGuard提供基础的混淆,而ClassFinal提供类文件加密。商业工具(如Jscrambler)则提供更全面的保护。 §§相关问题§§ 1. ProGuard在Spring Boot项目中如何避免混淆Spring的注解? 2. ClassFinal加密后的JAR文件如何防止内存dump? 3. 除了代码混淆和加密,还有哪些方法可以保护Java应用的安全?</think>### Spring Boot Maven项目代码加密防止反编译指南 在Spring Boot项目中,使用Maven构建时防止代码反编译的核心方案是**代码混淆**和**字节码加密**。以下是具体实现方案: #### 方案1:使用ProGuard进行代码混淆(推荐) ProGuard通过重命名类/方法/字段名、删除无用代码和优化字节码,使反编译后的代码难以阅读。 **实施步骤:** 1. 在`pom.xml`中添加ProGuard插件: ```xml <build> <plugins> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.6.0</version> <executions> <execution> <phase>package</phase> <goals><goal>proguard</goal></goals> </execution> </executions> <configuration> <obfuscate>true</obfuscate> <injar>${project.build.finalName}.jar</injar> <outjar>${project.build.finalName}-small.jar</outjar> <proguardInclude>${basedir}/proguard.conf</proguardInclude> <libs> <lib>${java.home}/lib/rt.jar</lib> </libs> </configuration> </plugin> </plugins> </build> ``` 2. 创建`proguard.conf`配置文件: ``` -keep public class com.example.MainApplication { public static void main(java.lang.String[]); } -keepclassmembers class * { @org.springframework.context.annotation.Bean *; @org.springframework.stereotype.* *; } ``` 3. 构建命令: ```bash mvn clean package ``` #### 方案2:使用ClassFinal进行字节码加密 [ClassFinal](https://github.com/roseboy/classfinal) 在启动时通过Java Agent动态解密类文件。 **实施步骤:** 1. 添加Maven插件: ```xml <plugin> <groupId>net.roseboy</groupId> <artifactId>classfinal-maven-plugin</artifactId> <version>1.2.1</version> <configuration> <password>yourPassword</password> <!-- 加密密钥 --> <packages>com.yourpackage.*</packages> <excludes>org.spring.*</excludes> </configuration> <executions> <execution> <phase>package</phase> <goals><goal>classFinal</goal></goals> </execution> </executions> </plugin> ``` 2. 启动加密后的JAR: ```bash java -javaagent:your-app-encrypted.jar='-pwd yourPassword' -jar your-app-encrypted.jar ``` #### 方案3:商业级保护工具(高安全性需求) | 工具 | 特点 | 费用 | |---------------|-----------------------------------|----------| | Jscrambler | 控制流混淆、字符串加密 | 商业授权 | | Zelix KlassMaster | 高级混淆、水印功能 | 商业授权 | | DashO | 预检分析、主动防御 | 商业授权 | #### 最佳实践建议 1. **分层保护**:结合ProGuard(基础混淆) + ClassFinal(启动时解密) 2. **密钥管理**:将加密密钥存储在环境变量中,避免硬编码 3. **排除配置**:不要混淆Spring Boot启动类和注解(如`@SpringBootApplication`) 4. **依赖处理**:排除第三方库的混淆(在配置中使用`-keep class com.fasterxml.**`) 5. **镜像加速**:在`settings.xml`配置阿里云镜像加速依赖下载[^5] #### 验证效果 反编译测试命令: ```bash # 使用JD-GUI验证 java -jar jd-gui.jar your-encrypted-app.jar ``` 成功保护的代码将显示为: - 类/方法名被重命名为`a`,`b`,`c`等无意义字符 - 核心逻辑代码无法直接阅读 > ⚠️ 注意:没有绝对安全的方案,但上述方法可显著提高反编译难度。商业项目建议使用商业级混淆工具。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值