- 1学术速运|利用ReFOLD4细化方法和AlphaFold2再循环过程改进蛋白质的三级和四级结构预测_蛋白质四级结构预测
- 2【操作】docker+gitea+jenkins自动化部署springboot项目_gitea自动化打包dockers
- 3Yapi —— 接口在线管理和调试工具_yapi在线
- 4文本编码时间操作命令_时间编码文件
- 5Android 手游聚合SDK小知识(二) 聚合分包_android 游戏sdk分包逻辑、
- 6Qwen2——阿里巴巴最新的多语言模型挑战 Llama 3 等 SOTA_llama3 qwen2
- 7图像识别和目标检测在超市电子秤上的应用
- 8mac 使用pytorch gpu_pytorch调用macbook的gpu
- 9《基于Python语言的机器学习系统设计》--序_building machine learning systems with python简介
- 10【Flutter入门到进阶】Dart进阶篇---Dart异步编程_dart 异步编程
proguard+springboot+maven插件 代码混淆_proguard-maven-plugin
赞
踩
一 背景
Java web项目部署到服务器上以后,尤其针对是在客户的服务器上部署,很容易被“友商”捞到相关的包,通过反编译的手段,我们的代码几乎等同于裸奔在不可管控的服务器上,产品的设计和代码细节都被一览无余,所以针对给厂商做的服务,我们做一些代码的混淆是很有必要的。
二 步骤
2.1 导入maven插件
通过maven插件的办法的好处就是,在编译过程中混淆代码,尽量避免了给业务上带来的影响。这里混淆代码如下,实际混淆过程中要根据实际业务调整
- <plugin>
- <groupId>com.github.wvengen</groupId>
- <artifactId>proguard-maven-plugin</artifactId>
- <version>2.0.11</version>
- <executions>
- <execution>
- <phase>package</phase>
- <goals>
- <goal>proguard</goal>
- </goals>
- </execution>
- </executions>
- <configuration>
- <proguardVersion>2.0.11</proguardVersion>
- <injar>${project.build.finalName}.jar</injar>
- <outjar>${project.build.finalName}.jar</outjar>
- <obfuscate>true</obfuscate>
- <proguardInclude>${project.basedir}/proguard.cfg</proguardInclude>
- <libs>
- <!-- Include main JAVA library required.-->
- <lib>${java.home}/lib</lib>
- <!-- Include crypto JAVA library if necessary.-->
- <!--<lib>${java.home}/lib/jce.jar</lib>-->
- </libs>
-
- <options>
- <!-- JDK目标版本1.8-->
- <option>-target 1.8</option>
- <!-- 不做收缩(删除注释、未被引用代码)-->
- <option>-dontshrink</option>
- <!-- 不做优化(变更代码实现逻辑)-->
- <option>-dontoptimize</option>
- <!-- 不路过非公用类文件及成员-->
- <option>-dontskipnonpubliclibraryclasses</option>
- <option>-dontskipnonpubliclibraryclassmembers</option>
- <!--不用大小写混合类名机制-->
- <option>-dontusemixedcaseclassnames</option>
-
- <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
- <option>-allowaccessmodification</option>
- <!-- 确定统一的混淆类的成员名称来增加混淆-->
- <option>-useuniqueclassmembernames</option>
- <!-- 不混淆所有包名-->
- <option>-keeppackagenames</option>
- <!-- 混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代 -->
- <option>-adaptclassstrings</option>
- <!--忽略警告信息-->
- <option>-ignorewarnings</option>
-
- <option>-printseeds</option>
-
- <option>-keepattributes
- Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod
- </option>
-
- <!-- 不混淆所有的set/get方法-->
- <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
-
- <!-- 不混淆main的信息-->
- <option>-keepclasseswithmembers public class * { public static void main(java.lang.String[]);}</option>
- <!-- 不混淆枚举方法的信息-->
- <option>-keepclassmembers enum * { *; }</option>
-
- </options>
- </configuration>
- <dependencies>
- <dependency>
- <groupId>net.sf.proguard</groupId>
- <artifactId>proguard-base</artifactId>
- <version>6.2.2</version>
- </dependency>
- </dependencies>
- </plugin>
2.2 调整spring-boot-maven-plugin
在使用proguard完成代码混淆的工作后,我们需要构建相关的jar包为可运行的目录结构,这里需要对spring-boot-maven-plugin插件做调整,设置打包策略为repackage,并且将spring-boot-maven-plugin插件位置置于proguard插件之后,这里的原因主要有两个:
- proguard混淆代码是在compile和package之后,我们希望在这个过程中,将编译好的class文件能进行混淆,也能够保证最终输出的jar是我们构建的可运行的jar包
- proguard混淆插件如果在springboot后使用,那么我们会先将编译好的文件生成jar包,然后repackage,通过springboot-plugin插件构建出最终可运行的jar的目录结构,然后对之前编译好的内容进行混淆,这样会导致覆盖掉之前springboot构建的结果。
- <plugin>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-maven-plugin</artifactId>
- <executions>
- <execution>
- <goals>
- <goal>repackage</goal>
- </goals>
- </execution>
- </executions>
- </plugin>
2.3 项目构建
mvn package -Dmaven.test.skip=true
通过maven完成项目的构建过程,可以通过在target下生成的proguard_map.txt文件,查看混淆前后的映射关系
2.4 项目运行中出现的问题
2.4.1 non-compatible bean definition of same name and class [a]
ConflictingBeanDefinitionException: Annotation-specified bean name 'a' for bean class [a] conflicts with existing, non-compatible bean definition of same name and class [a]
在proguard混淆代码后,在同一个包下会根据类名生成混淆后的类名,比如a.class ,b.class , c.class等,而通过反编译查看类可知,当我们在其他地方引用时(非同包下),会使用全类名的方式进行引用,这样就避免了使用时出现的问题,而不同的包下的同类名使用时也不会出现任何问题。
springboot容器启动失败的原因是,在使用到@Controller @Service @Component @Repository等注解时,如果不特别指定value属性,那么默认使用的是类名首字母小写的方式注入到容器中作为beanName的,我们默认的混淆规则在同一个包下根据类名长度会生成出诸如 a.class,b.class等的类名 ,这样在作为beanName时就会产生冲突。因为在容器中beanName要求是唯一的,在不考虑业务的情况下我们可以配置@Primary决定优先使用具体哪个,或者是配置spring参数可以为覆盖的方式。但是都不是混淆后的代码的解决办法。
解决办法:
这里采用了自定义BeanNameGenerator的方式强制将beanName重写为全类名,这样加入包名后,在容器就是唯一的beanName。下面的方式是一种模板,这里"xxx"主要针对于某些引入的jar包,可能会由于beanName使用全类名的方式,而在beanFactory中的一级缓存中获取bean实例时,还是采用旧的方式生成的beanName来获取,就会产生异常。
-
- public class ProGuardBeanNameGenerator extends AnnotationBeanNameGenerator {
-
- /**
- * 重写buildDefaultBeanName
- * 其他情况(如自定义BeanName)还是按原来的生成策略,只修改默认(非其他情况)生成的BeanName带上 包名
- *
- */
- @Override
- public String buildDefaultBeanName(BeanDefinition definition) {
- if("xxx".equals(definition.getBeanClassName())){
- String beanClassName = definition.getBeanClassName();
- Assert.state(beanClassName != null, "No bean class name set");
- String shortClassName = ClassUtils.getShortName(beanClassName);
- return Introspector.decapitalize(shortClassName);
- }
- return definition.getBeanClassName();
- }
-
- }
在启动类Application,将自定义beanNameGenerator引入。
-
- @EnableCaching
- @EnableScheduling
- @SpringBootApplication
- public class Application {
-
- public static void main(String[] args) {
- new SpringApplicationBuilder(Application.class)
- .beanNameGenerator(new ProGuardBeanNameGenerator())
- .run(args);
- }
-
- }
2.4.2 @Bean注解生成的bean问题
springboot同样存在问题的还有Configuration注解下自定义生成的Bean,默认情况下如果我们不增加value属性,那么生成的Bean的beanName为方法名,在代码混淆后,会出现混淆名称重复的问题,和之前的类的名称冲突类似,我们的类中的名称也会出现a,b,c等method。为了避免这样的问题。提供两种方式去改进。
2.4.2.1 通过proguard插件的选项根据包名排除@Configuration的类
- <option>-keep class com.xxx.** {
- *;
- }
- </option>
2.4.2.2 通过proguard插件直接排除@Configuration下的bean注解
- <option>-keep class * {
- @org.springframework.context.annotation.Bean *;
- }
- </option>
2.4.2.3 通过proguard插件排除包含@Configuration包名下的方法名
<option>-keepclassmembers class com.xxx.** {** *;} </option>2.4.3 @Async 可能会出现循环依赖的问题
Error creating bean with name 'xxx': Bean with name 'xxx' has been injected into other beans [xxx] in its raw version as part of a circular reference, but has eventually been wrapped. This means that said other beans do not use the final version of the bean. This is often the result of over-eager type matching - consider using 'getBeanNamesOfType' with the 'allowEagerInit' flag turned off, for example.
由于别的bean在引用时没有使用到最终版本的类,所以抛出异常
这里没有最终版本的类指的是,就类似于如果只存在二级缓存,那么就无法在生成代理类和属性注入时,保持使用的是统一的代理类 的道理是一样的。
这里最简单的办法就是使用懒加载,如果两个Bean真的有依赖的关系 ,就通过懒加载@Lazy去解决。保证了在注入属性时,避免互相依赖的问题。
2.4.4 数据库实体类&& 参数
这里主要针对的是常用的Mybatis和 Mybatis-plus,在使用到实体类时,由于我们是通过ORM,也就是对象关系映射,来完成数据库字段和属性的映射的,那么我们对于entity的排除就是非常有必要的。
我们在写mapper的接口时,偶尔会出现入参不加@Param注解的问题,在以往编译中,我们的mapper中的入参的参数名是保留的(这里需要提及一点,这里仅针对mapper的入参,其他的参数名称默认情况下我们是不能通过反射的方式获取到的,也就是在编译后,参数名称丢失了),但是实际混淆后,我们的参数名称也会丢失,这里就会出现一种问题,那就是在写mapper.xml时的sql时是无法注入参数的,因为名称已经丢失,所以这里希望可以按照标准的方式@Param标识Mybatis接口的参数
2.4.5 no converter for type 序列化的问题
出现这类型的问题,建议是通过混淆选项options的方式将其排除在外,我们混淆的目的是让人无法通过反编译轻松读懂我们的代码,虽然各种问题可以通过微调处理,但实际就我的理解而言,是不必追求混淆的极限的。
2.5 运行
我们的项目运行起来以后,对项目的影响可以说是微乎其微,既尽量保证了没有将混淆的内容耦合到我们的业务代码中,也保证我们通过springboot插件最终输出的可运行jar结构是稳定不变的。不管最终是通过容器运行,还是通过java的命令运行,都可以顺利的执行起来。
对于上述提到的标签,我附一个官方文档,用于方便查询
3 结束
在解决完混淆中引入的问题后,这样的项目通过反编译,会产生出很难理解的一些名称,帮助到我们保护代码。这里要补充一点,如果是我们自己的测试环境还是建议大家关闭混淆,否则你在查看日志时就是一堆看不懂的内容,我们的代码连行号都不显示了。这样做完以后,就大功告成了!
❤❤❤
