最近公司需要,研究了一下java打包代碼混淆的問題。查了好多博客,有兩種方式:
第一種使用ProGuard ,是一個免費的 Java類文件的壓縮,優化,混餚器。它刪除沒有用的類,字段,方法與屬性。使字節碼最大程度地優化,使用簡短且無意義的名字來重命名類、字段和方法 。eclipse已經把Proguard集成在一起了。我是看了半天,不太會用這個工具。
既然不會用,那就介紹第二種方式:利用maven插件實現打包的時候代碼混淆,其核心也是使用 ProGuard。至於其中用到的jar,好像maven倉庫中下載不到,需要到github上把源碼下載下來,打包到自己的本地倉庫,GitHub地址。最後附上我自己測試配置:
<!-- ProGuard混淆插件-->
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.2.1-SNAPSHOT</version>
<executions>
<execution>
<!-- 混淆時刻,這裏是打包的時候混淆-->
<phase>package</phase>
<goals>
<!-- 使用插件的什麼功能,當然是混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否將生成的PG文件安裝部署-->
<attach>true</attach>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<!-- 指定生成文件分類 -->
<attachArtifactClassifier>pg</attachArtifactClassifier>
<options>
<!-- JDK目標版本1.8-->
<option>-target 1.8</option>
<!-- 不做收縮(刪除註釋、未被引用代碼)-->
<option>-dontshrink</option>
<!-- 不做優化(變更代碼實現邏輯)-->
<option>-dontoptimize</option>
<!-- 不路過非公用類文件及成員-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!--不用大小寫混合類名機制-->
<option>-dontusemixedcaseclassnames</option>
<!-- 不混淆所有包名,本人測試混淆後WEB項目問題實在太多,畢竟Spring配置中有大量固定寫法的包名-->
<option>-keeppackagenames</option>
<!-- 優化時允許訪問並修改有修飾符的類和類的成員 -->
<option>-allowaccessmodification</option>
<!-- 確定統一的混淆類的成員名稱來增加混淆-->
<option>-useuniqueclassmembernames</option>
<!-- 忽略警告,不然打包不成功 -->
<option>-ignorewarnings</option>
<!-- 需要保持的屬性:異常,註解等-->
<option>-keepattributes
Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod
</option>
<!-- 不混淆所有的set/get方法-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<!-- 不混淆包下的所有類名,且類中的方法也不混淆-->
<option>-keep class com.*.controller.** { *; }</option>
<option>-keep class com.**.common.config.MainConfig</option>
<option>-keep interface * extends * { *; }</option>
<option>-keepclassmembers class * {
@org.springframework.beans.factory.annotation.Autowired *;
@org.springframework.beans.factory.annotation.Value *;
}
</option>
<option>-dontwarn</option>
</options>
<!--class 混淆後輸出的jar包-->
<outjar>${project.build.finalName}-pg.jar</outjar>
<!-- 添加依賴,這裏你可以按你的需要修改,這裏測試只需要一個JRE的Runtime包就行了 -->
<libs>
<lib>${java.home}/lib/rt.jar</lib>
<lib>${java.home}/lib/jce.jar</lib>
</libs>
<!-- 加載文件的過濾器,就是你的工程目錄了-->
<!--<inFilter>com/deceen/ **</inFilter>-->
<!-- 對什麼東西進行加載,這裏僅有classes成功,畢竟你也不可能對配置文件及JSP混淆吧-->
<injar>classes</injar>
<!-- 輸出目錄-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
<dependencies>
<dependency>
<groupId>net.sf.proguard</groupId>
<artifactId>proguard-base</artifactId>
<version>6.1.1</version>
</dependency>
</dependencies>
</plugin>
上面的配置是jfinal下的配置,與springboot的不同在於不混淆的類名和方法名的配置,這個配置有兩個需要注意的地方,第一controller層的代碼類名和方法名最好不要混淆,第二點是jfinal要注意的問題就是mainconfig類名不能混淆,如上所示。
後面有空把,我查閱的配置說明地址加上。