java项目jar包加密,防止反编译代码

最新推荐文章于 2025-11-26 10:31:47 发布
转载 最新推荐文章于 2025-11-26 10:31:47 发布 · 1w 阅读 · 74 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.cn/post/7291846601651273769
文章标签:

#java #jar #开发语言

本文介绍了在项目部署中如何对启动包进行代码混淆和加密,以保护源码不被反编译。proguard-maven-plugin适用于单模块但配置复杂,而classfinal-maven-plugin提供简单加密和绑定机器启动的功能。作者详细描述了操作步骤和加密后的启动方式以及反编译效果。

目录

  • 1 场景
  • 2 方案
  • 3 项目操作
  • 4 启动方式
  • 5 反编译效果
  • 6 绑定机器启动

文章来源:https://juejin.cn/post/7291846601651273769

1 场景

最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来。

2 方案

第一种方案使用代码混淆
采用proguard-maven-plugin插件

  • 在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。

第二种方案使用代码加密
采用classfinal-maven-plugin插件

  • 此方案比对上面的方案来说,就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

ClassFinal项目源码地址 :https://gitee.com/roseboy/classfinal

3 项目操作

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
        <plugin>
            <!--
                1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
            -->
            <groupId>net.roseboy</groupId>
            <artifactId>classfinal-maven-plugin</artifactId>
            <version>1.2.1</version>
            <configuration>
                <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                <excludes>org.spring</excludes>
                <packages>${groupId}</packages><!-- 加密的包名,多个包用逗号分开 -->
                <cfgfiles>application.yml,application-dev.yml</cfgfiles><!-- 加密的配置文件,多个包用逗号分开 -->
                <libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                <code>xxxx</code> <!-- 指定机器启动,机器码 -->
            </configuration>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>classFinal</goal>
                    </goals>
                </execution>
            </executions>
        </plugin>
    </plugins>
</build>

4 启动方式

无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

5 反编译效果

  • 启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
  • 反编译只能看到方法名和注解,看不到方法体的具体内容
  • 启动过程中解密class,完全内存解密,不留下任何解密后的文件

图片

yml配置文件留下空白

图片

6 绑定机器启动

下载到classfinal-fatjar-1.2.1.jar 依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码

图片

将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

SpringBoot项目Jar加密,防止反编译
wjianwei666的专栏
07-19 1475
- 加密的配置文件,多个用逗号分开 -->6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar
jar加密程序,防止反编译
qq_39879126的博客
05-17 3950
本窗体程序基于开源项目xjar https://gitee.com/core-lib/xjar/tree/2.1.1/src/main/java/io/xjar 1.pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
Jar加密防止反编译
ddjc123的博客
08-20 1万+
Jar加密防止反编译方法XJar加密工具XJar功能特性使用方法(手动执行方式)使用方法(Maven插件方式)exe4j加密工具使用方法jvmti加密工具使用方法参考 XJar加密工具 XJar功能特性 基于对JAR内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露以及反编译。 支持Maven插件 加密过程需要Go环境;加密后生成Go启动器,保护密码不泄露 GitHub: https://github.com/core-lib/xjar 使用方法(
对SpringBoot项目Jar进行加密防止反编译
sunjie12311的博客
11-04 2011
最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去,要求对正式环境的启动进行安全性处理,防止客户直接通过反编译工具将代码反编译出来,本文介绍了如何对SpringBoot项目Jar进行加密防止反编译,需要的朋友可以参考下。
java 防止反编译
最新发布
qq_37782946的博客
11-26 472
追求配置灵活,防止代码逻辑被分析:选择ProGuard 代码混淆。它免费、开源,是增加代码阅读难度的首选方案。追求部署简单,需要高强度保护:选择ClassFinal 字节码加密。它能从根本上防止直接反编译,更适合部署在不可控的客户环境中。希望这份详细的指南能帮助你有效保护你的 Spring Boot 应用代码。根据你的具体场景选择合适方案,如果还有疑问,欢迎继续提问。
jar加密防止反编译
11-16
Java加密Jar和Class文件防止反编译的方法,此为防止反编译程序,亲测可用。如果大神有啥破解方法,希望能与楼主分享下,谢谢。
java项目jar加密(防止反编译)
热门推荐
u012833261的博客
01-11 5万+
最近给公司写了一个项目,需要给其他公司用,为了不让别人看到源码,将项目打成了jar,但是jar反编译工具还是能很轻松的看到源码。所以想到了加密jar,用的是ProGuard,下载地址:https://sourceforge.net/projects/proguard/files/。       其实jar加密只是增加了反编译时间,理论上还是能破解的,但是有总比没有好。废话少说,开始吧。
java反编译jar
04-01
java jar反编译工具,混淆代码,可以对类名,String,变量,数字等进行混淆,
SpringBoot Jar 加密防止反编译
peach_garden的博客
10-08 2164
SpringBoot 程序 Jar 加密的方式,通过代码加密可以实现无法反编译防止客户直接反编译出来源码,或者获取配置信息,大大提升代码的安全性
jar混淆文档,防止代码反编译
08-07
Spring Boot使用Allatori代码混淆的方法,内含详细文档、混淆所需的jar反编译工具
SpringBoot项目Jar加密防止反编译详细讲解(值得珍藏)
01-27
本文详细讲述了两种主要的防止反编译的技术:代码混淆和字节码加密。 1. **代码混淆**: 代码混淆是一种常用的技术,其目的是使源代码变得难以理解和分析。通过使用像ProGuard这样的混淆工具,开发者可以将源代码...
SpringBoot项目Jar加密防止反编译
m0_74823827的博客
01-01 711
此方案比对上面的方案来说,就简单了许多。在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。将此生成好的机器码,放到maven插件中的code里面即可。这样,打好的项目只能在生成机器码的机器运行,其他机器则启动不了项目
Java源码混淆,jar加密,禁止反编译jar
鳄鱼儿
03-11 1万+
🍀对jar加密 使用 XJarjar进行加密。GitHub: https://github.com/core-lib/xjar Spring Boot JAR 安全加密运行工具, 同时支持的原生JAR 基于对JAR内资源的加密以及拓展ClassLoader来构建的一套程序加密启动, 动态解密运行的方案, 避免源码泄露以及反编译 功能特性 无代码侵入, 只需要把编译好的JAR通过工具加密即可. 完全内存解密, 降低源码以及字节码泄露或反编译的风险. 支持所有JDK内置加解密算法. 可选择需要加
jar加密防止反编译--classFinal
a816120的博客
11-23 9428
有这样的需求,我们项目要部署在其他公司的服务器上,但是又不想让外人看到我们的源码。所以要对jar中的内容进行加密加密方式一般有二,一是可以对class文件中的内容进行混淆,对类名和方法名等进行替换,使得代码阅读困难,但是不影响代码逻辑,多花时间还是可以解读出来的。二是对class文件进行一些操作加密,运行的时候再进行解密。 网上找了几个,觉得还是classFinal这个比较满意,加密选择灵活,支持springboot项目,操作简单。 项目地址:https://gitee.com/roseboy/cla
面试官:如何防止 Java 源码被反编译??我:
2401_84048554的博客
04-13 1215
为什么我不完全主张自学?①平台上的大牛基本上都有很多年的工作经验了,你有没有想过之前行业的门槛是什么样的,现在行业门槛是什么样的?以前企业对于程序员能力要求没有这么高,甚至十多年前你只要会写个“Hello World”,你都可以入门这个行业,所以以前要入门是完全可以入门的。②现在也有一些优秀的年轻大牛,他们或许也是自学成才,但是他们一定是具备优秀的学习能力,优秀的自我管理能力(时间管理,静心坚持等方面)以及善于发现问题并总结问题。
Javajar如何防止反编译
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
01-15 869
从理论上来说,黑客如果有足够的时间,被混淆的代码仍然可能被破解,甚至目前有些人正在研制反混淆的工具。但是从实际情况来看,由于混淆技术的多元化发展,混淆理论的成熟,经过混淆的Java代码还是能够很好地防止反编译。图4是代码混淆的示图。控制混淆就是对程序的控制流进行混淆,使得程序的控制流更加难以反编译,通常控制流的改变需要增加一些额外的计算和控制流,因此在性能上会给程序带来一定的负面影响。在具体的方案中,我们将程序分为两个部分,一个是由本地代码编写的题库访问的模块,另外一个是由Java开发的其它模块。
防止java反编译的一些常用方法
elimago的专栏
07-14 1110
常用的保护技术   由于Java字节码的抽象级别较高,因此它们较容易被反编译。本节介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。   隔离Java程序   最简单的方法就是让用户不能够访问到Java Class程序,这种方法是最根本的方法,具体实现有多种方式。例如,开发人员可以将关键
教大家防止Jar反编译
ZhengJingLe的博客
03-09 4万+
加密的方法就是,向Jar注入无效代码(不合法的,或者根本不是代码的字符串)。 那么无效的代码又怎么能正确运行呢? 答案就是,你要保证你的代码永远不会执行到那一步。 我作一个简单的例子说明: 我们建立一个项目: package com.TestJar; public class Main { public static void main(String[]
java多模块项目怎么使用ClassFinal给jar加密防止反编译
07-30
Java多模块项目中使用ClassFinal对JAR进行加密防止反编译,可以通过Maven插件集成的方式实现。ClassFinal提供了`classfinal-maven-plugin`插件,专门用于在打过程中自动加密模块生成的JAR文件,适用于多模块项目结构。 ### 配置与使用 1. **引入Maven插件** 在多模块项目的父`pom.xml`中添加ClassFinal插件的配置,以便所有子模块继承该插件配置。插件会自动在打阶段对JAR文件进行加密[^3]。 ```xml <build> <plugins> <plugin> <groupId>org.classfinal</groupId> <artifactId>classfinal-maven-plugin</artifactId> <version>1.2.1</version> <configuration> <!-- 指定需要加密名,多个名用逗号分隔 --> <packages>com.example.module1,com.example.module2</packages> <!-- 指定加密密码 --> <password>your-encryption-password</password> <!-- 是否启用加密 --> <enable>true</enable> <!-- 可选:是否绑定机器,加密后只能在特定机器运行 --> <!-- <bind>true</bind> --> </configuration> <executions> <execution> <phase>package</phase> <goals> <goal>classfinal</goal> </goals> </execution> </executions> </plugin> </plugins> </build> ``` 2. **构建并加密模块** 在完成插件配置后,执行以下Maven命令进行构建和加密: ```bash mvn clean package ``` 执行完成后,所有子模块生成的JAR将被自动加密加密后的JAR无法被常规反编译工具解析,从而有效防止源码泄露[^2]。 3. **验证加密效果** 使用反编译工具尝试打开加密后的JAR,应无法正常解析class文件内容。若ClassFinal配置了密码保护,则反编译工具无法读取加密类的字节码[^1]。 4. **运行加密后的JAR** ClassFinal加密后的JAR可以直接运行,无需额外配置或修改启动参数。例如: ```bash java -jar your-encrypted-module.jar ``` ClassFinal会在运行时动态解密类文件并加载,确保应用正常运行,同时不影响Spring Boot等框架的注解扫描和字节码生成功能[^3]。 5. **可选:绑定机器运行** 如果需要限制加密后的JAR仅能在特定机器上运行,可以在插件配置中启用`bind`选项,并指定绑定信息(如MAC地址或硬盘序列号): ```xml <bind>true</bind> <bindInfo>00:1A:2B:3C:4D:5E</bindInfo> ``` 启用绑定后,该JAR将无法在未授权的设备上运行,进一步提升安全性[^3]。 ### 注意事项 - **兼容性**:ClassFinal支持JDK 8至JDK 11,且兼容Spring Boot、Swagger等主流框架,适用于多模块项目结构[^3]。 - **密码管理**:加密时使用的密码应妥善保管,避免泄露。若密码丢失,加密的类文件将无法恢复。 - **性能影响**:由于运行时需要动态解密类,ClassFinal可能对启动性能产生轻微影响,但通常不会影响运行时性能。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值