SpringBoot Jar包加密与反编译防护实战：ClassFinal方案详解

1 场景

最近项目需要部署到客户的服务器上，但又不想把源码泄露出去。这就要求我们对正式环境的启动包进行安全处理，防止别人通过反编译工具轻易地把代码反编译出来。

2 方案

第一种方案：代码混淆

采用 proguard-maven-plugin 插件。

在单模块项目中，这个方案还算简单。但现在的项目基本都是多模块结构，一个模块往往依赖多个公共模块。此时使用代码混淆就会变得非常麻烦——配置复杂、文档晦涩，各模块之间的调用关系在混淆时极其容易出错。

第二种方案：代码加密

采用 classfinal-maven-plugin 插件。

相比上面的方案，这个就简单多了。只需配置一个插件，就能实现源码的安全性保护。而且还能对 yml、properties 配置文件，以及 lib 目录下的 Maven 依赖进行加密处理。如果想指定机器启动，它也支持绑定机器，让项目加密后只能在特定机器上运行。

ClassFinal 项目源码地址：https://gitee.com/roseboy/classfinal

3 项目操作

只需要在启动类所在的 pom.xml 文件中加入如下插件即可。需要注意的是，这个插件要放在 spring-boot-maven-plugin 插件的后面，否则不会生效。

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
        <plugin>
            <!--
                1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
            -->
            <groupId>net.roseboy</groupId>
            <artifactId>classfinal-maven-plugin</artifactId>
            <version>1.2.1</version>
            <configuration>
                <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                <excludes>org.spring</excludes>
                <packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
                <cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
                <libjars>hutool-all.jar</libjars><!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                <code>xxxx</code><!-- 指定机器启动,机器码 -->
            </configuration>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>classFinal</goal>
                    </goals>
                </execution>
            </executions>
        </plugin>
    </plugins>
</build>

4 启动方式

无密码启动：

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

有密码启动：

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

5 反编译效果

启动包加密之后，方法体被清空，但会保留方法参数和注解等信息，主要是为了兼容 Swagger 文档的注解扫描。

反编译时只能看到方法名和注解，完全看不到方法体的具体内容。整个启动过程都在内存中解密 class 文件，不会在磁盘上留下任何解密后的文件。

再看看配置文件，yml 文件里的内容也变成了空白，这下是不是更安全了？

6 绑定机器启动

首先下载 classfinal-fatjar-1.2.1.jar 依赖，在命令行中执行 java -jar classfinal-fatjar-1.2.1.jar -C 命令，它会自动生成一串机器码。

把这个生成的机器码填入 Maven 插件的 <code> 标签里。这样一来，打包好的项目就只能在生成机器码的那台机器上运行了，换到其他机器是无法启动的。

如果想在自己的项目里实践 Java 的 逆向 安全防护，不妨亲自动手试一下这套加密流程，对加固你的 SpringBoot 应用会很有帮助。