基於ProGuard-Maven-Plugin的自訂代碼混淆外掛程式,proguardmaven混淆
介紹
大家可能都會碰到一些代碼比較敏感的項目情境,這個時候代碼被反編譯看到就不好了,這個時候就需要代碼混淆外掛程式來對代碼進行混淆了。
基於Maven的項目一般會去考慮使用proguard-maven-plugin,但是這個外掛程式僅支援打Jar包不支援打War包。
於是我用空閑時間在proguard-maven-plugin的基礎上修改了裡面的一部分邏輯,可以在項目構建過的時候把代碼混淆,支援打成jar包和war包。
現在貼出來給大家看看。
項目地址https://github.com/lovethegirl/code-hidding-plugin
修改部分War包壓縮解壓的工具類
package com.github.wvengen.maven.proguard; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.OutputStream; import java.util.Iterator; import org.apache.commons.compress.archivers.ArchiveException; import org.apache.commons.compress.archivers.ArchiveInputStream; import org.apache.commons.compress.archivers.ArchiveOutputStream; import org.apache.commons.compress.archivers.ArchiveStreamFactory; import org.apache.commons.compress.archivers.jar.JarArchiveEntry; import org.apache.commons.compress.archivers.zip.ZipArchiveEntry; import org.apache.commons.compress.utils.IOUtils; import org.apache.commons.io.FileUtils; /** * 處理WAR檔案工具類。可壓縮或解壓縮WAR檔案。 * * @author Xiong Shuhong(shelltea@gmail.com) */ public class WarUtils { public static void unzip(String warPath, String unzipPath) { File warFile = new File(warPath); try { BufferedInputStream bufferedInputStream = new BufferedInputStream(new FileInputStream( warFile)); ArchiveInputStream in = new ArchiveStreamFactory().createArchiveInputStream( ArchiveStreamFactory.JAR, bufferedInputStream); JarArchiveEntry entry = null; while ((entry = (JarArchiveEntry) in.getNextEntry()) != null) { File file = new File(unzipPath, entry.getName()); if (file.exists()) { file.delete(); } if (entry.isDirectory()) { file.mkdir(); } else { OutputStream out = FileUtils.openOutputStream(file); IOUtils.copy(in, out); out.close(); } } in.close(); } catch (FileNotFoundException e) { System.err.println("未找到war檔案"); } catch (ArchiveException e) { System.err.println("不支援的壓縮格式"); } catch (IOException e) { System.err.println("檔案寫入發生錯誤"); } } public static void zip(String destFile, String zipDir) { File outFile = new File(destFile); try { outFile.createNewFile(); BufferedOutputStream bufferedOutputStream = new BufferedOutputStream( new FileOutputStream(outFile)); ArchiveOutputStream out = new ArchiveStreamFactory().createArchiveOutputStream( ArchiveStreamFactory.JAR, bufferedOutputStream); if (zipDir.charAt(zipDir.length() - 1) != '/') { zipDir += '/'; } Iterator<File> files = FileUtils.iterateFiles(new File(zipDir), null, true); while (files.hasNext()) { File file = files.next(); ZipArchiveEntry zipArchiveEntry = new ZipArchiveEntry(file, file.getPath().replace( zipDir.replace("/", "\\"), "")); out.putArchiveEntry(zipArchiveEntry); IOUtils.copy(new FileInputStream(file), out); out.closeArchiveEntry(); } out.finish(); out.close(); } catch (IOException e) { System.err.println("建立檔案失敗"); } catch (ArchiveException e) { System.err.println("不支援的壓縮格式"); } } }
修改ProGuardMojo.java中的代碼,在打包的時候把混淆後的代碼打進war包,具體可從Git上把項目down下來查看。
if (attach && !sameArtifact) { //操作war解壓,等一系列操作 String absolutePath = outJarFile.getAbsolutePath(); getLog().info("---absolutePath--" + absolutePath); String unzipPath = outJarFile.getParent() + "/proguard-war"; getLog().info("刪除路徑" + absolutePath); deleteDir(unzipPath); File unZipFile = new File(unzipPath); unZipFile.mkdir(); String targetWar = mavenProject.getBuild().getDirectory() + "/" + mavenProject.getBuild().getFinalName() + ".war"; getLog().info(targetWar); WarUtils.unzip(targetWar, unzipPath); //刪除路徑" deleteDir(unzipPath + "/WEB-INF/classes"); WarUtils.unzip(absolutePath, unzipPath + "/WEB-INF/classes"); outJarFile.delete(); WarUtils.zip(absolutePath, outJarFile.getParent() + "/proguard-war"); getLog().info("---absolutePath--" + absolutePath); if (useArtifactClassifier()) { projectHelper.attachArtifact(mavenProject, attachArtifactType, attachArtifactClassifier, outJarFile); } else { projectHelper.attachArtifact(mavenProject, attachArtifactType, null, outJarFile); } }
然後,運行maven install後,可以在倉庫目錄中看到打出來的混淆過的war包
使用方法先進行Maven install
然後在需要混淆代碼的工程中加入此外掛程式的依賴
<plugin> <groupId>com.jiujie</groupId> <artifactId>code-hidding-plugin</artifactId> <version>1.0</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <obfuscate>true</obfuscate> <attach>true</attach> <injar>classes</injar> <attachArtifactClassifier>pg</attachArtifactClassifier> attach 的作用是在 install 與 deploy 時將產生的 pg 檔案也安裝與部署 <proguardInclude>${basedir}/proguard.conf</proguardInclude> <outjar>${project.build.finalName}-pg</outjar> <libs> <lib>${java.home}/lib/rt.jar</lib> <lib>${java.home}/lib/jsse.jar</lib> </libs> <addMavenDescriptor>false</addMavenDescriptor> </configuration> </plugin>
在工程根目錄下加入工程設定檔proguard.conf
# ---------------------------------- # 通過指定數量的最佳化能執行 # -optimizationpasses n # ---------------------------------- #-optimizationpasses 3 # ---------------------------------- # 混淆時不會產生形形色色的類名 # -dontusemixedcaseclassnames # ---------------------------------- #-dontusemixedcaseclassnames # ---------------------------------- # 指定不去忽略非公用的庫類 # -dontskipnonpubliclibraryclasses # ---------------------------------- # ---------------------------------- # 不預校正 # -dontpreverify # ---------------------------------- # -dontpreverify #忽略所有警示 -ignorewarnings #不做 shrink -dontshrink #不做 optimize -dontoptimize # ---------------------------------- # 輸出產生資訊 # -verbose # ---------------------------------- -verbose #混淆時應用侵入式重載 #-overloadaggressively #最佳化時允許訪問並修改有修飾符的類和類的成員 #-allowaccessmodification #確定統一的混淆類的成員名稱來增加混淆 #這裡添加你不需要混淆的類 #-keep class com.showjoy.common.cache.** {*;} -keepclasseswithmembers class com.showjoy.cart.service.** { <fields>; } -keepclasseswithmembers class com.showjoy.cart.ui.cart.** { <fields>; } -keepclassmembers class com.showjoy.cart.CartControllerHandler { <fields>; } -keepclassmembers class com.showjoy.cart.CartExceptionHandler { <fields>; } -keep class com.showjoy.cart.util.EncodeUtil {*;} #-keep public class * extends javax.servlet.Servlet #-keepdirectories ** #-keepattributes ** #-useuniqueclassmembernames #保持源碼名與行號(異常時有明確的棧資訊),註解(預設會過濾掉所有註解,會影響架構的註解) -keepattributes SourceFile,LineNumberTable,*Annotation* #保持包註解類 -keepattributes Signature #-keepnames class * implements java.io.Serializable # ---------保護所有實體中的欄位名稱---------- #-keepclassmembers class * implements java.io.Serializable { # <fields>; #} # --------- 保護類中的所有方法名 ------------ #-keepclassmembers class * { # public <methods>; #} ProGuard說明與配置
官網:http://proguard.sourceforge.net/
ProGuard的使用是為了:
1.建立緊湊的代碼文檔是為了更快的網路傳輸,快速裝載和更小的記憶體佔用.
2.建立的程式和程式庫很難使用反向工程.
3.所以它能刪除來自源檔案中的沒有調用的代碼
4.充分利用java6的快速載入的優點來提前檢測和返回java6中存在的類檔案.
參數:
-include {filename} 從給定的檔案中讀取配置參數
-basedirectory {directoryname} 指定基礎目錄為以後相對的設定檔名稱
-injars {class_path} 指定要處理的應用程式jar,war,ear和目錄
-outjars {class_path} 指定處理完後要輸出的jar,war,ear和目錄的名稱
-libraryjars {classpath} 指定要處理的應用程式jar,war,ear和目錄所需要的程式庫檔案
-dontskipnonpubliclibraryclasses 指定不去忽略非公用的庫類。
-dontskipnonpubliclibraryclassmembers 指定不去忽略包可見的庫類的成員。
保留選項
-keep {Modifier} {class_specification} 保護指定的類檔案和類的成員
-keepclassmembers {modifier} {class_specification} 保護指定類的成員,如果此類受到保護他們會保護的更好
-keepclasseswithmembers {class_specification} 保護指定的類和類的成員,但條件是所有指定的類和類成員是要存在。
-keepnames {class_specification} 保護指定的類和類的成員的名稱(如果他們不會壓縮步驟中刪除)
-keepclassmembernames {class_specification} 保護指定的類的成員的名稱(如果他們不會壓縮步驟中刪除)
-keepclasseswithmembernames {class_specification} 保護指定的類和類的成員的名稱,如果所有指定的類成員出席(在壓縮步驟之後)
-printseeds {filename} 列出類和類的成員-keep選項的清單,標準輸出到給定的檔案
壓縮
-dontshrink 不壓縮輸入的類檔案
-printusage {filename}
-whyareyoukeeping {class_specification}
最佳化
-dontoptimize 不最佳化輸入的類檔案
-assumenosideeffects {class_specification} 最佳化時假設指定的方法,沒有任何副作用
-allowaccessmodification 最佳化時允許訪問並修改有修飾符的類和類的成員
混淆
-dontobfuscate 不混淆輸入的類檔案
-printmapping {filename}
-applymapping {filename} 重用映射增加混淆
-obfuscationdictionary {filename} 使用給定檔案中的關鍵字作為要混淆方法的名稱
-overloadaggressively 混淆時應用侵入式重載
-useuniqueclassmembernames 確定統一的混淆類的成員名稱來增加混淆
-flattenpackagehierarchy {package_name} 重新封裝所有重新命名的包並放在給定的單一包中
-repackageclass {package_name} 重新封裝所有重新命名的類檔案中放在給定的單一包中
-dontusemixedcaseclassnames 混淆時不會產生形形色色的類名
-keepattributes {attribute_name,...} 保護給定的可選屬性,例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and InnerClasses.
-renamesourcefileattribute {string} 設定源檔案中給定的字串常量
因為我們開發的是webwork+spring+hibernate的架構的項目,所有需要很詳細的配置。(經過n次失敗後總結)
Example:
-injars <project>.jar
-outjars <project>_out.jar
-libraryjars <Java.home>/lib/rt.jar
-libraryjars <project.home>/webroot/WEB-INF/lib/webwork.jar
.......
# 保留實現Action介面類中的公有的,友好的,私人的屬性 和 公有的,友好的方法。其它的全部壓縮,最佳化,混淆。
# 因為設定檔中的類名是一個完整的類名,如果經過處理後就有可能找不到這個類。
# 屬性是jsp頁面所需要的,如果經過處理jsp頁面就無法得到action中的資料。
-keep public class * implements com.opensymphony.xwork.Action{
public protected private <fields>;
public protected <methods>;
}
# 保留實現了Serializable介面類中的公有的,友好的,私人的成員(屬性和方法)
# 這個配置主要是對應實體類的配置。
-keep public class * implements java.io.Serializable{
public protected private *;
}
......
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
