前言

在實際開發(fā)中，保護項目的安全性和保密性是至關(guān)重要的。針對于 Spring Boot 項目，如果不經(jīng)過加密，其他人可以直接通過GUI反編譯輕而易舉拿到源碼，所以我們需要將 JAR 包進行加密從而有效地防止未經(jīng)授權(quán)的訪問和修改。

本文將介紹如何使用ClassFinal在 Spring Boot 項目中實現(xiàn) JAR 包加密。

什么是ClassFinal

ClassFinal是一個Java字節(jié)碼混淆和加密工具，可以將Java類文件轉(zhuǎn)換為不可讀的形式，從而保護代碼免受逆向工程的攻擊。它提供了強大的加密算法，可以有效地保護您的應(yīng)用程序免受非法訪問。

項目地址：https://gitee.com/roseboy/classfinal

注意：雖然目前該項目在Gitee上擁有1.6K的Star，但已經(jīng)暫停維護！
經(jīng)小伙伴的反饋JDK17+SpringBoot3.3.0 會有 Startup failed, invalid password. 無法解密的問題，
經(jīng)過博主測試 SpringBoot3.2.0 + 確實存在這個問題，當(dāng)然你是可以根據(jù)作者源碼修改調(diào)整加解密方法來解決的

JDK17 + SpringBoot3.3.0 出現(xiàn) Startup failed, invalid password.

博主測試使用了SpringBoot3.1.0 + jdk17是完全支持的

以下是解密運行的截圖

SpringBoot 2.7.12 + JDK17

SpringBoot 3.1.0 + JDK17

項目模塊說明

• classfinal-core: ClassFinal的核心模塊，幾乎所有加密的代碼都在這里；
• classfinal-fatjar: ClassFinal打包成獨立運行的jar包；
• classfinal-maven-plugin: ClassFinal加密的maven插件；

功能特性

• 無需修改原項目代碼，只要把編譯好的jar/war包用本工具加密即可
• 運行加密項目時，無需求修改 tomcat，spring 等源代碼
• 支持普通 jar 包、springboot jar 包以及普通 java web 項目編譯的 war 包
• 支持spring framework、swagger等需要在啟動過程中掃描注解或生成字節(jié)碼的框架
• 支持maven插件，添加插件后在打包過程中自動加密
• 支持加密WEB-INF/lib或BOOT-INF/lib下的依賴jar包
• 支持綁定機器，項目加密后只能在特定機器運行
• 支持加密springboot的配置文件

參數(shù)執(zhí)行方式使用

首先下載jar包

對我們需要運行的項目jar包進行加密，下面是官方的使用樣例：

java -jar classfinal-fatjar.jar \
-file yourproject.jar \
-libjars a.jar,b.jar \
-packages com.yourpackage,com.yourpackage2 \
-exclude com.yourpackage.Main \
-pwd 123456 \
-Y

參數(shù)說明

• -file ：加密的jar/war完整路徑
• -packages ：加密的包名(可為空,多個用","分割)
• -libjars ：jar/war包lib下要加密jar文件名(可為空,多個用","分割)
• -cfgfiles ：需要加密的配置文件，一般是classes目錄下的yml或properties文件(可為空,多個用","分割)
• -exclude ：排除的類名(可為空,多個用","分割)
• -classpath ：外部依賴的jar目錄，例如/tomcat/lib(可為空,多個用","分割)
• -pwd ：加密密碼，如果是#號，則使用無密碼模式加密
• -code ：機器碼，在綁定的機器生成，加密后只可在此機器上運行
• -Y ：無需確認，不加此參數(shù)會提示確認以上信息

結(jié)果: 生成 yourproject-encrypted.jar，這個就是加密后的jar文件；加密后的文件不可直接執(zhí)行，需要配置javaagent

注: 以上示例是直接用參數(shù)執(zhí)行，也可以直接執(zhí)行 java -jar classfinal-fatjar.jar按照步驟提示輸入信息完成加密。

maven插件方式使用

在要加密的項目pom.xml中加入以下插件配置,目前最新版本是：1.2.1

<plugin>
    <!-- https://gitee.com/roseboy/classfinal -->
    <groupId>net.roseboy</groupId>
    <artifactId>classfinal-maven-plugin</artifactId>
    <version>1.2.1</version>
    <configuration>
    	<!--加密打包之后pom.xml會被刪除，不用擔(dān)心在jar包里找到此密碼-->
        <password>000000</password>
        <packages>com.yourpackage,com.yourpackage2</packages>
        <cfgfiles>application.yml</cfgfiles>
        <excludes>org.spring</excludes>
        <libjars>a.jar,b.jar</libjars>
    </configuration>
    <executions>
        <execution>
            <phase>package</phase>
            <goals>
                <goal>classFinal</goal>
            </goals>
        </execution>
    </executions>
</plugin>

執(zhí)行maven打包，在target目錄下會發(fā)現(xiàn)多了一個 xxx-encrypted.jar的加密好的jar文件

驗證加密的JAR包

下載反編譯工具JD-GUI ： 下載地址：http://java-decompiler.github.io

選擇自己對應(yīng)系統(tǒng)的版本下載即可；

小小的提示：博主之前遇到的問題

由于博主是MacOS系統(tǒng)，之前只有JDK8的時候運行正常，但當(dāng)在電腦上同時安裝了高版本的JDK，會出現(xiàn)JD-GUI打不開的問題

問題分析

由于是專為MacOS系統(tǒng)定制的org.jd.gui.OsxApp作為啟動類，當(dāng)我們同時安裝高版本的JDK會導(dǎo)致OsxApp依賴的com.apple.eawt.Application缺失，導(dǎo)致啟動失敗，此時只需要把啟動類換成默認的org.jd.gui.App即可正常啟動

解決辦法

• 找到 jd-gui.app 右鍵 顯示包內(nèi)容
• 進入Contents目錄，打開Info.plist文件
• 搜索找到org.jd.gui.OsxApp 替換為 org.jd.gui.App

???????下載完成運行JD-GUI工具，將我們項目生成的 xxx-encrypted.jar 拖入工具中查看，這里以博主測試生成的toher-admin-encrypted.jar為例，如下圖：

可以看到相關(guān)方法體內(nèi)容均已經(jīng)清空了

運行加密的jar包

加密后的項目需要設(shè)置javaagent來啟動，項目在啟動過程中解密class，完全內(nèi)存解密，不留下任何解密后的文件。

解密功能已經(jīng)自動加入到 xxx-encrypted.jar中，所以啟動時-javaagent與-jar相同，不需要額外的jar包。

啟動jar項目執(zhí)行以下命令：

java -javaagent:yourpaoject-encrypted.jar='-pwd 0000000' \
-jar yourpaoject-encrypted.jar

//參數(shù)說明
// -pwd      加密項目的密碼  
// -pwdname  環(huán)境變量中密碼的名字

總結(jié)

使用ClassFinal工具可以輕松地保護Spring Boot項目的JAR包免受未經(jīng)授權(quán)的訪問和修改。通過將ClassFinal集成到項目的構(gòu)建過程中，我們可以在打包項目時自動對類文件進行加密，提高了應(yīng)用程序的安全性

以上就是使用ClassFinal實現(xiàn)SpringBoot項目jar包加密的操作指南的詳細內(nèi)容，更多關(guān)于ClassFinal jar包加密的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論