代码收藏家技术教程 2025-01-04

SpringBoot整合ClassFinal JAR包加密_使用classfinal-maven-plugin插件详解

一、场景

二、方案

三、第一步：添加依赖

四、第二步：绑定机器（无，则跳过）

五、第三步：打包

六、第四步：查看反编译

七、第五步：启动

八、第六步：启动成功

一、场景

开发的项目要求部署到客户公司的服务器上，但是又不想将源码泄露出去。
要求对正式环境的JAR包进行安全性处理，防止客户直接通过反编译工具将代码反编译出来。

二、方案

1、方案一
使用代码混淆采用 proguard-maven-plugin 插件，在单模块中此方案还算简单，但多模块时，配置复杂，易出错。

2、方案二（常用）
使用代码加密采用 classfinal-maven-plugin 插件，此方案比对第一种方案来说简单。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动，支持绑定机器，项目加密后只能在特定机器运行。

以下为：方案二实操

三、第一步：添加依赖

在启动类的pom.xml文件中加入插件即可
需要注意的是，该插件要放到spring-boot-maven-plugin插件后面，否则无效

<build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.2.6.RELEASE</version>
                <configuration>
                    <fork>true</fork> <!-- 如果没有该配置，devtools不会生效 -->
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

            <plugin>
                <!--                            &lt;!&ndash;-->
                <!--                1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描-->
                <!--                2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容-->
                <!--                3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件-->
                <!--                4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行-->
                <!--                5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar-->
                <!--                6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar-->
                <!--            &ndash;&gt;-->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>#</password>        <!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                    <excludes>org.spring</excludes>
                    <packages>com.test</packages>    <!-- 加密的包名，比如我的：com.test.web.controller.common -->
                    <!--<cfgfiles>application.yml,application-uat.yml</cfgfiles>-->
                    <cfgfiles></cfgfiles><!-- 加密的配置文件,多个包用逗号分开（配置文件可以不加密） -->
                    <libjars>test-common-2.2.6.RELEASE.jar</libjars><!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                    <code></code><!-- 指定机器启动,机器码 -->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>


        </plugins>
        <finalName>${project.artifactId}</finalName>
    </build>