背景需求
客户想私有化部署我的产品,但是预算不足,所以只给jar包不给源码;但是jar依然有反编译的风险,比如springboot项目打包为jar包后,可以通过 https://www.decompiler.com/ 反编译出部分源码,有源码泄露风险。所以需要对jar加密之后再交付给客户。
反编译
通过在 https://www.decompiler.com/ 上传打包后的jar包,该网站能自动反编译并下载反编译后的压缩包。
解压之后发现源码和目录结构一览无余,这可万万使不得,这个jar包可不敢给出去。
加密
有一个很方便的工具: https://gitee.com/roseboy/classfinal ,可以直接对jar包加密。
进入仓库,下载工具到本地
然后根据仓库的指示,加密本地jar文件。比如我的相关信息如下。
需要加密的文件:/home/zemelee/code/qe-web/qe.jar
加密的包:com.example.qe 密码随意,那我的命令就可以如下。
java -jar classfinal-fatjar-1.2.1.jar -file /home/zemelee/code/qe-web/qe.jar -packages com.example.qe -pwd qe
然后就会生成一个新的jar包。再用之前的反编译工具测试一下,反编译出来的文件虽然有目录结构,但是方法体里面的代码是不见了的,只有方法名和参数。
此时再根据以下命令就可以直接跑起来加密后的jar包了。(记得指定yml文件)
java -javaagent:qe-2-encrypted.jar='-pwd qe' -jar qe-2-encrypted.jar --spring.config.location=file:./application.yml