使用ClassFinal实现springboot项目jar包加密

使用ClassFinal实现springboot项目jar包加密

码农世界 2024-06-20 后端 103 次浏览 0个评论

使用ClassFinal实现springboot项目jar包加密

😄 19年之后由于某些原因断更了三年,23年重新扬帆起航,推出更多优质博文,希望大家多多支持~

🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志

🎐 个人CSND主页——Micro麦可乐的博客

🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战

🌺《RabbitMQ》本专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战

🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解

如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

使用ClassFinal实现springboot项目jar包加密

  • 前言
  • 什么是ClassFinal
  • 参数执行方式使用
  • maven插件方式使用
  • 验证加密的JAR包
  • 运行加密的jar包
  • 总结

    前言

    在实际开发中,保护项目的安全性和保密性是至关重要的。针对于 Spring Boot 项目,如果不经过加密,其他人可以直接通过GUI反编译轻而易举拿到源码,所以我们需要将 JAR 包进行加密从而有效地防止未经授权的访问和修改。

    本文将介绍如何使用ClassFinal在 Spring Boot 项目中实现 JAR 包加密。

    什么是ClassFinal

    ClassFinal是一个Java字节码混淆和加密工具,可以将Java类文件转换为不可读的形式,从而保护代码免受逆向工程的攻击。它提供了强大的加密算法,可以有效地保护您的应用程序免受非法访问。

    项目地址:https://gitee.com/roseboy/classfinal

    使用ClassFinal实现springboot项目jar包加密

    注意:虽然目前该项目在Gitee上拥有1.6K的Star,但已经暂停维护!

    博主测试使用了Springboot3 + jdk17是完全支持的,所以就目前来说对我们的项目并不会有什么影响,可以放心使用

    项目模块说明

    • classfinal-core: ClassFinal的核心模块,几乎所有加密的代码都在这里;
    • classfinal-fatjar: ClassFinal打包成独立运行的jar包;
    • classfinal-maven-plugin: ClassFinal加密的maven插件;

    功能特性

    • 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可
    • 运行加密项目时,无需求修改 tomcat,spring 等源代码
    • 支持普通 jar 包、springboot jar 包以及普通 java web 项目编译的 war 包
    • 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架
    • 支持maven插件,添加插件后在打包过程中自动加密
    • 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包
    • 支持绑定机器,项目加密后只能在特定机器运行
    • 支持加密springboot的配置文件

    参数执行方式使用

    首先下载jar包: 下载地址

    对我们需要运行的项目jar包进行加密,下面是官方的使用样例:

    java -jar classfinal-fatjar.jar \
    -file yourproject.jar \
    -libjars a.jar,b.jar \
    -packages com.yourpackage,com.yourpackage2 \
    -exclude com.yourpackage.Main \
    -pwd 123456 \
    -Y
    

    参数说明

    • -file :加密的jar/war完整路径
    • -packages :加密的包名(可为空,多个用","分割)
    • -libjars :jar/war包lib下要加密jar文件名(可为空,多个用","分割)
    • -cfgfiles :需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
    • -exclude :排除的类名(可为空,多个用","分割)
    • -classpath :外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
    • -pwd :加密密码,如果是#号,则使用无密码模式加密
    • -code :机器码,在绑定的机器生成,加密后只可在此机器上运行
    • -Y :无需确认,不加此参数会提示确认以上信息

    结果: 生成 yourproject-encrypted.jar,这个就是加密后的jar文件;加密后的文件不可直接执行,需要配置javaagent

    注: 以上示例是直接用参数执行,也可以直接执行 java -jar classfinal-fatjar.jar按照步骤提示输入信息完成加密。

    maven插件方式使用

    在要加密的项目pom.xml中加入以下插件配置,目前最新版本是:1.2.1

    
        
        net.roseboy
        classfinal-maven-plugin
        1.2.1
        
        	
            000000
            com.yourpackage,com.yourpackage2
            application.yml
            org.spring
            a.jar,b.jar
        
        
            
                package
                
                    classFinal
                
            
        
    
    

    执行maven打包,在target目录下会发现多了一个 xxx-encrypted.jar的加密好的jar文件

    使用ClassFinal实现springboot项目jar包加密

    验证加密的JAR包

    下载反编译工具JD-GUI : 下载地址:http://java-decompiler.github.io

    使用ClassFinal实现springboot项目jar包加密

    选择自己对应系统的版本下载即可;

    下载完成运行JD-GUI工具,将我们项目生成的 xxx-encrypted.jar 拖入工具中查看,这里以博主测试生成的toher-admin-encrypted.jar为例,如下图:

    使用ClassFinal实现springboot项目jar包加密

    可以看到相关方法体内容均已经清空了

    运行加密的jar包

    加密后的项目需要设置javaagent来启动,项目在启动过程中解密class,完全内存解密,不留下任何解密后的文件

    解密功能已经自动加入到 xxx-encrypted.jar中,所以启动时-javaagent与-jar相同,不需要额外的jar包。

    启动jar项目执行以下命令:

    java -javaagent:yourpaoject-encrypted.jar='-pwd 0000000' \
    -jar yourpaoject-encrypted.jar
    //参数说明
    // -pwd      加密项目的密码  
    // -pwdname  环境变量中密码的名字
    

    总结

    使用ClassFinal工具可以轻松地保护Spring Boot项目的JAR包免受未经授权的访问和修改。通过将ClassFinal集成到项目的构建过程中,我们可以在打包项目时自动对类文件进行加密,提高了应用程序的安全性

转载请注明来自码农世界,本文标题:《使用ClassFinal实现springboot项目jar包加密》

百度分享代码,如果开启HTTPS请参考李洋个人博客
每一天,每一秒,你所做的决定都会改变你的人生!

发表评论

快捷回复:

评论列表 (暂无评论,103人围观)参与讨论

还没有评论,来说两句吧...

Top