SpringBoot2 项目Jar包加密,防止反编译

最新推荐文章于 2025-05-29 21:50:25 发布
最新推荐文章于 2025-05-29 21:50:25 发布
阅读量240 收藏
点赞数
分类专栏: Spring Cloud 文章标签: jar java springboot 反编译 jar包加密
原文链接:https://mp.weixin.qq.com/s/jkPZ440cr8xvO_UHhyH9aw
版权

前言

最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来。

一 方案

1.1 第一种方案使用代码混淆

采用proguard-maven-plugin插件

在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。

1.2 第二种方案使用代码加密

采用classfinal-maven-plugin插件

此方案比对上面的方案来说,就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

ClassFinal项目源码地址:https://gitee.com/roseboy/classfinal.git

二 项目操作

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

<build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
            <plugin>
                <!--
                    1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                    2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                    3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                    4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                    5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                    6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
                -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                    <excludes>org.spring</excludes>
                    <packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
                    <cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
                    <libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                    <code>xxxx</code> <!-- 指定机器启动,机器码 -->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>

    </build>

三 启动方式

3.1 无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

3.2 有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

四 反编译效果

启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描

反编译只能看到方法名和注解,看不到方法体的具体内容

启动过程中解密class,完全内存解密,不留下任何解密后的文件

yml配置文件留下空白

五 绑定机器启动

下载到classfinal-fatjar-1.2.1.jar依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码

将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

SpringBoot项目Jar加密,防止反编译
wjianwei666的专栏
07-19 1138
- 加密的配置文件,多个用逗号分开 -->6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar
SpringBoot开发——Jar 加密防止反编译
bjzhang75的博客
11-20 1533
SpringBoot开发——Jar 加密防止反编译
编码技巧——Springboot工程加密yml配置/Maven引入本地二方
娜娜米的博客
02-28 1779
基于Springboot的工程项目,通常很多信息都是在application.yml中直接明文配置的,比如数据库链接信息,redis链接信息等; 为了安全考虑,公司打算将yml配置文件中的数据库连接信息的账号,密码进行加密! 公司有开发相关的安全规定,要求对源代码工程中所有的敏感信息进行加密括代码和配置文件,防止密码泄露;
SpringBoot工程引用其他工程构建的jar
Borny鼎鼎的博客
05-13 312
2springboot入口类引入注解,即@EnableAuthClient和@Configuration。启动B工程,使用postman测试A工程的接口,例如/admin/menus接口,如下。存在A、B两个工程,其中B工程需要引用A工程的jar。(2)构建jar,即gradle build。(1)引入jar,即A工程构建生成的jar。(1)自动配置bean。
maven打包之代码混淆-防反编译
记录IT技术学习,分享IT学习体验
04-23 6167
配置maven代码混淆插件,防止反编译
Jar加密防止反编译
ddjc123的博客
08-20 1万+
Jar加密防止反编译方法XJar加密工具XJar功能特性使用方法(手动执行方式)使用方法(Maven插件方式)exe4j加密工具使用方法jvmti加密工具使用方法参考 XJar加密工具 XJar功能特性 基于对JAR内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露以及反编译。 支持Maven插件 加密过程需要Go环境;加密后生成Go启动器,保护密码不泄露 GitHub: https://github.com/core-lib/xjar 使用方法(
使用maven插件加密jar防止反编译
zsj777的专栏
04-16 4661
1、下载maven加密插件 pom文件加入以下配置 <!-- 设置 jitpack.io 插件仓库 --> <pluginRepositories> <pluginRepository> <id>jitpack.io</id> <url>http...
java项目jar加密(防止反编译)
热门推荐
u012833261的博客
01-11 5万+
最近给公司写了一个项目,需要给其他公司用,为了不让别人看到源码,将项目打成了jar,但是jar反编译工具还是能很轻松的看到源码。所以想到了加密jar,用的是ProGuard,下载地址:https://sourceforge.net/projects/proguard/files/。       其实jar加密只是增加了反编译时间,理论上还是能破解的,但是有总比没有好。废话少说,开始吧。
SpringBoot项目Jar加密防止反编译详细讲解(值得珍藏)
01-27
SpringBoot项目的安全性是...总之,对SpringBoot项目Jar进行加密是提高代码安全性的有效途径,但需谨慎处理以保持程序的性能和可维护性。通过合理地运用代码混淆和字节码加密,可以为项目构建一道有效的防护屏障。
SpringBoot项目Jar加密防止反编译
m0_74823827的博客
01-01 579
此方案比对上面的方案来说,就简单了许多。在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目
springboot工程jar加密
03-24
总之,"springboot工程jar加密"是一个关于保护Java应用安全的重要主题,通过使用工具如xjar,我们可以有效地加密jar防止源代码泄露,确保应用在生产环境中的安全运行。在实际操作中,应结合项目需求和安全策略...
Javajava混淆 | jar防止反编译 | allatori防反编译
hgSuper的博客
05-21 5050
一、说明 1、众所周知,jar可以通过工具进行反编译 2、若自己实现的算法想要保护起来,又不影响jar的功能调用,可尝试本文描述 二、解决方案 1、直奔工具: Allatori代码混淆 2、常用maven构造项目,举例就用maven了;其他的可参考官网示例,通俗易懂 PS:下载好示例 3、引入需要的jar <dependency> <groupId>allatori</groupId> <artifactId>allato
SpringBoot集成第三方jar的完整指南
qq_40603125的博客
05-29 372
本文介绍了在SpringBoot+Maven项目中引入外部jar的完整流程。首先在项目根目录创建lib文件夹存放jar文件;然后通过三种方法将jar加入项目:Add as Library、通过Project Structure添加至Libraries或Modules。接着解决Maven打包问题:在pom.xml中配置第三方jar的dependency(需指定system范围及systemPath路径),并修改spring-boot-maven-plugin配置以含第三方jar。文中特别说明group
pom.xml 文件中配置你项目中的外部 jar 打包方式
qq_42281649的博客
05-29 107
中的 ${project.basedir} 是项目根目录变量,确保路径正确指向 lib 下的目标 jar 。-DgroupId、-DartifactId、-Dversion 自定义,与后续 pom 配置对应。-Dfile 后是 jar 项目中的实际路径。-Dpackaging 表示打包类型为 jar。使用 system 作用域(不推荐,但简单直接)可根据实际情况自定义,但要保证唯一性和可读性。表示从本地文件系统获取依赖,需配合。
ubuntu系统上运行jar程序输出时间时区不对
最新发布
一个标题
05-29 105
ubuntu系统上运行jar程序输出时间时区不对
jar 打包成 exe
liyh722的博客
05-29 165
jar 打包成 exe
linux系统(centos7为例)将jar配置成服务操作教程
飙歌的博客
05-28 301
在CentOS系统中,添加启动项来运行Java应用程序(如使用jar)通常涉及编辑系统的初始化脚本或使用systemd服务。替换username、/path/to/your/application.jarJAVA_HOME为你的实际用户和Java应用程序路径。创建一个新的systemd服务文件。如果你希望在当前的终端会话中运行jar,并保持它即使在断开连接后也能运行,可以使用screen或tmux。脱离会话(在screen中使用Ctrl+A然后按D,在tmux中使用Ctrl+B然后按D)
Netty 框架介绍
技术改变世界
05-28 268
Netty是一个基于 Java NIO(Non-blocking I/O)的异步事件驱动网络应用框架,旨在快速开发高性能、高可靠性的网络服务器和客户端。它简化了 TCP/UDP 等协议的编程,并提供了高度可定制的组件,适用于高并发场景(如游戏服务器、即时通讯、分布式系统等)。
【Redis】三、在springboot中应用redis
naihe_fish的博客
05-22 1066
本文介绍了如何在Spring Boot项目中集成Redis作为缓存中间件,以优化用户信息管理的性能。首先,通过引入redis依赖,配置Redis连接信息。接着,创建了一个用户管理模块,括数据库表、实体类、控制器和服务层。在服务层中,通过RedisTemplate实现了缓存逻辑,优先从Redis中查询用户分数,若未命中则从MySQL数据库中获取并缓存到Redis中。最后,通过Postman测试接口,验证了Redis缓存的有效性,首次查询较慢,但后续查询速度显著提升。
springbootjar禁止反编译
04-02
### 如何保护 Spring Boot JAR 不被反编译 为了有效防止 Spring Boot 的 JAR 反编译,可以通过多种方式来增强其安全性。以下是几种常见的方法及其具体实现: #### 1. 使用 Java Agent 进行加密 Java Agent 是一种可以在 JVM 启动时加载的工具类库,能够拦截并修改字节码的行为。通过配置 `-javaagent` 参数,可以对运行中的程序进行动态代理和加密处理。 启动命令如下所示: ```bash java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar ``` 这种方式无需额外密码即可完成解密操作[^2]。如果需要进一步加强安全防护,则可引入带密码验证的功能: ```bash java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar ``` 此模式下只有提供正确密码才能正常启动应用[^4]。 #### 2. 应用代码混淆技术 除了直接加密整个 JAR 文件外,还可以采用 ProGuard 或 DexGuard 等专用工具来进行源码级别的混淆处理。这些工具有助于隐藏变量名、函数逻辑以及控制流结构等敏感信息,从而增加逆向工程难度。 ProGuard 配置文件示例(proguard-rules.pro): ```properties # Keep the application's entry point class. -keep public class com.example.Main { public static void main(java.lang.String[]); } # Remove unused code and optimize bytecode. -dontwarn **Error** -assumenosideeffects class android.util.Log { public static *** d(...); public static *** v(...); } ``` 执行打包流程前需确保 Maven/Gradle 插件已正确定义好相关参数设置[^1]。 #### 3. 增加硬件绑定机制 对于某些特殊场景下的高价值资产保护需求来说,在软件层面之外再加入一层基于物理设备特征的身份认证手段也是非常必要的。比如读取服务器唯一标识符或者MAC地址并与预设值匹配成功后才允许继续下一步动作等等[^3]。 综上所述,针对不同层次的需求可以选择适合自己的解决方案组合起来使用以达到最佳效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值