Java全系工程源码加密，防止反编译

一、前言

在大约2015年左右，由于公司产品序列逐渐增加，涉及到N多项目部署交付，为了有效防止产品被滥用，私自部署，当时技术中心决定开发一套统一的授权认证管理系统，对公司所有产品序列进行 License 控制。

一晃已然快十年了，一直都在平稳运行，从这里发出的授权估计几千个了吧，最近关于授权认证又收到营销提出的新需求，由于我们开发语言以 JAVA 为主，熟悉 JAVA 的同学都清楚 JAVA 源码很容易被反编译，只要找到了认证的入口其实就很好破解。我们暂不探讨原来的授权具体方案。这个经历多次迭代，本身也比较复杂。

现在产品侧提出的需求，希望可以在线上传或者更新所有产品的授权认证文件，不用通过shell登录服务器手动替换，而且希望在上传完授权文件后，系统对文件进行一次解析和验证，对于不合法或者不匹配的文件不予通过，做到提前过滤。

如果直接给下游产品提供授权认证SDK包的话，所有加密的核心代码和逻辑全部会被暴露出来，有没有比较合适的方案可以对源码进行加密呢？这就是今天我们即将介绍的一款小工具 ClassFinal 。

二、ClassFinal 介绍

ClassFinal是一款java class文件安全加密工具，支持直接加密jar包或war包，无需修改任何项目代码，兼容spring-framework；可避免源码泄漏或字节码被反编译。

2.1、项目模块

• classfinal-core: ClassFinal的核心模块，几乎所有加密的代码都在这里；
• classfinal-fatjar: ClassFinal打包成独立运行的jar包；
• classfinal-maven-plugin: ClassFinal加密的maven插件；

2.2、功能特性

• 无需修改原项目代码，只要把编译好的jar/war包用本工具加密即可。
• 运行加密项目时，无需修改tomcat，spring等源代码。
• 支持普通jar包、springboot jar包以及普通java web项目编译的war包。
• 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。
• 支持maven插件，添加插件后在打包过程中自动加密。
• 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。
• 支持绑定机器，项目加密后只能在特定机器运行。
• 支持加密springboot的配置文件。

三、普通项目加密

普通的JAVA项目可以直接通过命令行的方式执行加密：

java -jar classfinal-fatjar-1.2.1.jar -file company-license-3.0.0.jar -packages de.schlichtherle,org.apache.mime2.node,xxx.license.core -exclude LicenseTest -pwd '#' -Y

参数说明
-file        加密的jar/war完整路径
-packages    加密的包名(可为空,多个用","分割)
-libjars     jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles    需要加密的配置文件，一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude     排除的类名(可为空,多个用","分割)
-classpath   外部依赖的jar目录，例如/tomcat/lib(可为空,多个用","分割)
-pwd         加密密码，如果是#号，则使用无密码模式加密
-code        机器码，在绑定的机器生成，加密后只可在此机器上运行
-Y           无需确认，不加此参数会提示确认以上信息

结果: 执行命令后生成 company-license-3.0.0-encrypted.jar，这个就是加密后的jar文件；加密后的