大家可能都會碰到一些代碼比較敏感的項目場景,這個時候代碼被反編譯看到就不好了,這個時候就需要代碼混淆插件來對代碼進行混淆了。
基於Maven的項目一般會去考慮使用proguard-maven-plugin,但是這個插件僅支持打Jar包不支持打War包。
於是我用空閒時間在proguard-maven-plugin的基礎上修改了裡面的一部分邏輯,可以在項目構建過的時候把代碼混淆,支持打成jar包和war包。
現在貼出來給大家看看。
https://github.com/lovethegirl/code-hidding-plugin
War包壓縮解壓的工具類
package com.github.wvengen.maven.proguard; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.OutputStream; import java.util.Iterator; import org.apache.commons.compress.archivers.ArchiveException; import org.apache.commons.compress.archivers.ArchiveInputStream; import org.apache.commons.compress.archivers.ArchiveOutputStream; import org.apache.commons.compress.archivers.ArchiveStreamFactory; import org.apache.commons.compress.archivers.jar.JarArchiveEntry; import org.apache.commons.compress.archivers.zip.ZipArchiveEntry; import org.apache.commons.compress.utils.IOUtils; import org.apache.commons.io.FileUtils; /** * 處理WAR文件工具類。可壓縮或解壓縮WAR文件。 * * @author Xiong Shuhong([email protected]) */ public class WarUtils { public static void unzip(String warPath, String unzipPath) { File warFile = new File(warPath); try { BufferedInputStream bufferedInputStream = new BufferedInputStream(new FileInputStream( warFile)); ArchiveInputStream in = new ArchiveStreamFactory().createArchiveInputStream( ArchiveStreamFactory.JAR, bufferedInputStream); JarArchiveEntry entry = null; while ((entry = (JarArchiveEntry) in.getNextEntry()) != null) { File file = new File(unzipPath, entry.getName()); if (file.exists()) { file.delete(); } if (entry.isDirectory()) { file.mkdir(); } else { OutputStream out = FileUtils.openOutputStream(file); IOUtils.copy(in, out); out.close(); } } in.close(); } catch (FileNotFoundException e) { System.err.println("未找到war文件"); } catch (ArchiveException e) { System.err.println("不支持的壓縮格式"); } catch (IOException e) { System.err.println("文件寫入發生錯誤"); } } public static void zip(String destFile, String zipDir) { File outFile = new File(destFile); try { outFile.createNewFile(); BufferedOutputStream bufferedOutputStream = new BufferedOutputStream( new FileOutputStream(outFile)); ArchiveOutputStream out = new ArchiveStreamFactory().createArchiveOutputStream( ArchiveStreamFactory.JAR, bufferedOutputStream); if (zipDir.charAt(zipDir.length() - 1) != '/') { zipDir += '/'; } Iterator<File> files = FileUtils.iterateFiles(new File(zipDir), null, true); while (files.hasNext()) { File file = files.next(); ZipArchiveEntry zipArchiveEntry = new ZipArchiveEntry(file, file.getPath().replace( zipDir.replace("/", "\\"), "")); out.putArchiveEntry(zipArchiveEntry); IOUtils.copy(new FileInputStream(file), out); out.closeArchiveEntry(); } out.finish(); out.close(); } catch (IOException e) { System.err.println("創建文件失敗"); } catch (ArchiveException e) { System.err.println("不支持的壓縮格式"); } } }
修改ProGuardMojo.java中的代碼,在打包的時候把混淆後的代碼打進war包,具體可從Git上把項目down下來查看。
if (attach && !sameArtifact) {
//操作war解壓,等一系列操作
String absolutePath = outJarFile.getAbsolutePath();
getLog().info("---absolutePath--" + absolutePath);
String unzipPath = outJarFile.getParent() + "/proguard-war";
getLog().info("刪除路徑" + absolutePath);
deleteDir(unzipPath);
File unZipFile = new File(unzipPath);
unZipFile.mkdir();
String targetWar = mavenProject.getBuild().getDirectory() + "/"
+ mavenProject.getBuild().getFinalName() + ".war";
getLog().info(targetWar);
WarUtils.unzip(targetWar, unzipPath);
//刪除路徑"
deleteDir(unzipPath + "/WEB-INF/classes");
WarUtils.unzip(absolutePath, unzipPath + "/WEB-INF/classes");
outJarFile.delete();
WarUtils.zip(absolutePath, outJarFile.getParent() + "/proguard-war");
getLog().info("---absolutePath--" + absolutePath);
if (useArtifactClassifier()) {
projectHelper.attachArtifact(mavenProject, attachArtifactType,
attachArtifactClassifier, outJarFile);
} else {
projectHelper.attachArtifact(mavenProject, attachArtifactType, null, outJarFile);
}
}
然後,運行maven install後,可以在倉庫目錄中看到打出來的混淆過的war包
先進行Maven install
然後在需要混淆代碼的工程中加入此插件的依賴
<plugin>
<groupId>com.jiujie</groupId>
<artifactId>code-hidding-plugin</artifactId>
<version>1.0</version>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<obfuscate>true</obfuscate>
<attach>true</attach>
<injar>classes</injar>
<attachArtifactClassifier>pg</attachArtifactClassifier>
attach 的作用是在 install 與 deploy 時將生成的 pg 文件也安裝與部署
<proguardInclude>${basedir}/proguard.conf</proguardInclude>
<outjar>${project.build.finalName}-pg</outjar>
<libs>
<lib>${java.home}/lib/rt.jar</lib>
<lib>${java.home}/lib/jsse.jar</lib>
</libs>
<addMavenDescriptor>false</addMavenDescriptor>
</configuration>
</plugin>
在工程根目錄下加入工程配置文件proguard.conf
# ----------------------------------
# 通過指定數量的優化能執行
# -optimizationpasses n
# ----------------------------------
#-optimizationpasses 3
# ----------------------------------
# 混淆時不會產生形形色色的類名
# -dontusemixedcaseclassnames
# ----------------------------------
#-dontusemixedcaseclassnames
# ----------------------------------
# 指定不去忽略非公共的庫類
# -dontskipnonpubliclibraryclasses
# ----------------------------------
# ----------------------------------
# 不預校驗
# -dontpreverify
# ----------------------------------
# -dontpreverify
#忽略所有告警
-ignorewarnings
#不做 shrink
-dontshrink
#不做 optimize
-dontoptimize
# ----------------------------------
# 輸出生成信息
# -verbose
# ----------------------------------
-verbose
#混淆時應用侵入式重載
#-overloadaggressively
#優化時允許訪問並修改有修飾符的類和類的成員
#-allowaccessmodification
#確定統一的混淆類的成員名稱來增加混淆
#這裡添加你不需要混淆的類
#-keep class com.showjoy.common.cache.** {*;}
-keepclasseswithmembers class com.showjoy.cart.service.** {
<fields>;
}
-keepclasseswithmembers class com.showjoy.cart.ui.cart.** {
<fields>;
}
-keepclassmembers class com.showjoy.cart.CartControllerHandler {
<fields>;
}
-keepclassmembers class com.showjoy.cart.CartExceptionHandler {
<fields>;
}
-keep class com.showjoy.cart.util.EncodeUtil {*;}
#-keep public class * extends javax.servlet.Servlet
#-keepdirectories **
#-keepattributes **
#-useuniqueclassmembernames
#保持源碼名與行號(異常時有明確的棧信息),注解(默認會過濾掉所有注解,會影響框架的注解)
-keepattributes SourceFile,LineNumberTable,*Annotation*
#保持包注解類
-keepattributes Signature
#-keepnames class * implements java.io.Serializable
# ---------保護所有實體中的字段名稱----------
#-keepclassmembers class * implements java.io.Serializable {
# <fields>;
#}
# --------- 保護類中的所有方法名 ------------
#-keepclassmembers class * {
# public <methods>;
#}
官網:http://proguard.sourceforge.net/
ProGuard的使用是為了:
1.創建緊湊的代碼文檔是為了更快的網絡傳輸,快速裝載和更小的內存占用.
2.創建的程序和程序庫很難使用反向工程.
3.所以它能刪除來自源文件中的沒有調用的代碼
4.充分利用java6的快速加載的優點來提前檢測和返回java6中存在的類文件.
參數:
-include {filename} 從給定的文件中讀取配置參數
-basedirectory {directoryname} 指定基礎目錄為以後相對的檔案名稱
-injars {class_path} 指定要處理的應用程序jar,war,ear和目錄
-outjars {class_path} 指定處理完後要輸出的jar,war,ear和目錄的名稱
-libraryjars {classpath} 指定要處理的應用程序jar,war,ear和目錄所需要的程序庫文件
-dontskipnonpubliclibraryclasses 指定不去忽略非公共的庫類。
-dontskipnonpubliclibraryclassmembers 指定不去忽略包可見的庫類的成員。
保留選項
-keep {Modifier} {class_specification} 保護指定的類文件和類的成員
-keepclassmembers {modifier} {class_specification} 保護指定類的成員,如果此類受到保護他們會保護的更好
-keepclasseswithmembers {class_specification} 保護指定的類和類的成員,但條件是所有指定的類和類成員是要存在。
-keepnames {class_specification} 保護指定的類和類的成員的名稱(如果他們不會壓縮步驟中刪除)
-keepclassmembernames {class_specification} 保護指定的類的成員的名稱(如果他們不會壓縮步驟中刪除)
-keepclasseswithmembernames {class_specification} 保護指定的類和類的成員的名稱,如果所有指定的類成員出席(在壓縮步驟之後)
-printseeds {filename} 列出類和類的成員-keep選項的清單,標准輸出到給定的文件
壓縮
-dontshrink 不壓縮輸入的類文件
-printusage {filename}
-whyareyoukeeping {class_specification}
優化
-dontoptimize 不優化輸入的類文件
-assumenosideeffects {class_specification} 優化時假設指定的方法,沒有任何副作用
-allowaccessmodification 優化時允許訪問並修改有修飾符的類和類的成員
混淆
-dontobfuscate 不混淆輸入的類文件
-printmapping {filename}
-applymapping {filename} 重用映射增加混淆
-obfuscationdictionary {filename} 使用給定文件中的關鍵字作為要混淆方法的名稱
-overloadaggressively 混淆時應用侵入式重載
-useuniqueclassmembernames 確定統一的混淆類的成員名稱來增加混淆
-flattenpackagehierarchy {package_name} 重新包裝所有重命名的包並放在給定的單一包中
-repackageclass {package_name} 重新包裝所有重命名的類文件中放在給定的單一包中
-dontusemixedcaseclassnames 混淆時不會產生形形色色的類名
-keepattributes {attribute_name,...} 保護給定的可選屬性,例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and InnerClasses.
-renamesourcefileattribute {string} 設置源文件中給定的字符串常量
因為我們開發的是webwork+spring+hibernate的架構的項目,所有需要很詳細的配置。(經過n次失敗後總結)
Example:
-injars <project>.jar
-outjars <project>_out.jar
-libraryjars <Java.home>/lib/rt.jar
-libraryjars <project.home>/webroot/WEB-INF/lib/webwork.jar
.......
# 保留實現Action接口類中的公有的,友好的,私有的屬性 和 公有的,友好的方法。其它的全部壓縮,優化,混淆。
# 因為配置文件中的類名是一個完整的類名,如果經過處理後就有可能找不到這個類。
# 屬性是jsp頁面所需要的,如果經過處理jsp頁面就無法得到action中的數據。
-keep public class * implements com.opensymphony.xwork.Action{
public protected private <fields>;
public protected <methods>;
}
# 保留實現了Serializable接口類中的公有的,友好的,私有的成員(屬性和方法)
# 這個配置主要是對應實體類的配置。
-keep public class * implements java.io.Serializable{
public protected private *;
}
......
