SpringBoot项目jar包加密防止反编译

业务场景

由于公司业务需要，需要把jar包部署到其它公司的服务器，又不想泄露源码。

解决方法

1、代码混淆

采用proguard-maven-plugin插件

在单模块中此方案还算简单，但是现在项目一般都是多模块，一个模块依赖多个公共模块。那么使用此方案就比较麻烦，配置复杂，文档难懂，各模块之间的调用在是否混淆时极其容易出错。

2、代码加密

采用classfinal-maven-plugin插件

此方案比对上面的方案来说，就简单了许多。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动，支持绑定机器，项目加密后只能在特定机器运行。

ClassFinal项目源码地址：https://gitee.com/roseboy/classfinal.git

项目操作

需要在启动类的pom.xml文件中加如下插件即可，需要注意的是，改插件时要放到spring-boot-maven-plugin插件后面，否则不起作用。

        
            
                org.springframework.boot
                spring-boot-maven-plugin
            
            
                
                net.roseboy
                classfinal-maven-plugin
                1.2.1
                
                    #
                    org.spring
                    ${groupId}
                    application.yml,application-dev.yml
                    hutool-all.jar 
                    xxxx 
                
                
                    
                        package
                        
                            classFinal
                        
                    
                
            
        

    

启动方式

1、无密码启动

java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar

2、有密码启动

java -javaagent:xxx-encrypted.jar='-pwd=密码' -jar xxx-encrypted.jar

反编译效果

启动包加密之后，方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描

反编译只能看到方法名和注解,看不到方法体的具体内容

启动过程中解密class,完全内存解密,不留下任何解密后的文件

yml配置文件留下空白

绑定机器启动

下载到classfinal-fatjar-1.2.1.jar依赖，在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令，会自动生成一串机器码

将此生成好的机器码，放到maven插件中的code里面即可。这样，打包好的项目只能在生成机器码的机器运行，其他机器则启动不了项目。