Springboot集成Proguard生成混淆jar包

背景

当我们需要将 JAR 包交付给第三方时，常常担心代码可能会被反编译。因此，对 JAR 包进行混淆处理显得尤为重要。

市面上有许多 JAR 包源码混淆工具，但真正能稳定投入使用的并不多。例如，ClassFinal (ClassFinal: Java字节码加密工具)`是国内开发者开发的一款 JAR 包加密工具，它采用的是字节码加密的方案。然而，ClassFinal (ClassFinal: Java字节码加密工具)已经停止维护多年，并且它的使用需要额外提供一个加密包来解密，这种方式虽然注重安全性，但增加了使用的复杂性。由于 JVM 的跨平台特性，理想的工具应该是简洁、易于使用的，而不是增加额外的“挂件”来进行保护。

另一款常用的工具是 ProGuard(GitHub - Guardsquare/proguard: ProGuard, Java optimizer and obfuscator)，它是一款开源的 Java 代码混淆工具。准确来说是一个插件，不需要对他进行编码，只需要进行配置即可。代码混淆，并不是把所有代码进行混淆，这样反而会出错，比如枚举类型如果也进行混淆，那么在使用反射创建实例，并给实例赋值的时候，枚举类型会反序列化失败。ProGuard 的主要功能是在不影响程序功能的前提下，混淆 JAR 包内的源码，通过增加代码的混乱程度，使得反编译后的代码可读性大大降低，从而有效地提高了代码的安全性。对于第三方来说，反编译后的代码难以理解，与其花费大量时间研究，可能更倾向于重新开发实现。因此，从这个角度来看，ProGuard 确实可以满足一定的代码安全性需求。proguard提供了可以对哪些包，类，方法等不进行混淆的配置，我们可以将枚举配置在这里。

然而，需要注意的是，ProGuard 是一款通用的 Java 代码混淆工具，并非针对 Spring 框架的专用工具。因此，它对 Spring 相关的注解并没有特殊的处理。这意味着在使用 ProGuard 混淆 Spring Boot 应用时，开发者可能需要进行额外的配置和定制，这对不熟悉该工具的开发者来说增加了使用难度和成本。

实现流程

springboot提供了打包插件spring-boot-maven-plugin，所以我们的混淆需要在springboot打包的插件之前，就是我们要对混淆之后的代码通过spring-boot-maven-plugin进行打包。
Proguard核心内容是两个配置文件，一个pom.xml、一个proguard.cfg，这里提供最关键的两个能够直接使用的配置文件内容，其余的配置相关描述可以通过文末的参考文献获取。

proguard.cfg配置示例

# 指定不警告尚未解决的引用和其他问题
-dontwarn
#指定Java的版本
-target 1.8
#proguard会对代码进行优化压缩，他会删除从未使用的类或者类成员变量等（删除注释、未被引用代码）
-dontshrink
#是否关闭字节码级别的优化，如果不开启则设置如下配置  不做优化（变更代码实现逻辑）
-dontoptimize
#混淆时不生成大小写混合的类名，默认是可以大小写混合
-dontusemixedcaseclassnames
# 不去忽略非公共的库类
-dontskipnonpubliclibraryclasses
# 指定不跳过包可见的库类成员（字段和方法）。
# 默认情况下，proguard在解析库类时会跳过包可见的库类成员。当我们确实引用了包可见的类成员时，需要设置此项
-dontskipnonpubliclibraryclassmembers
# 对于类成员的命名的混淆采取唯一策略
-useuniqueclassmembernames
# 优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodificatio
# 不混淆所有包名
#-keeppackagename
#混淆类名之后，对使用Class.forName('className')之类的地方进行相应替代
-adaptclassstrings
#保持目录结构
-keepdirectories
#对异常、注解信息予以保留
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod,Qualifier
# 此选项将保存接口中的所有原始名称（不混淆）-->
#-keepnames interface ** { *; }#混淆时是否记录日志
#-verbose# 此选项将保存所有软件包中的所有原始接口文件（不进行混淆）
#-keep interface * extends * { *; }#保留参数名，因为控制器，或者Mybatis等接口的参数如果混淆会导致无法接受参数，xml文件找不到参数
-keepparameternames
# 保留枚举成员及方法
#-keepclassmembers enum * { *; }
# 不混淆所有类,保存原始定义的注释-
-keepclassmembers class * {@org.springframework.context.annotation.Bean *;@org.springframework.context.annotation.Bean *;@org.springframework.beans.factory.annotation.Autowired *;@org.springframework.beans.factory.annotation.Value *;@org.springframework.stereotype.Service *;@org.springframework.stereotype.Component *;@org.springframework.transaction.annotation.ProxyTransactionManagementConfiguration *;@org.springframework.boot.context.properties.ConfigurationProperties *;@org.springframework.web.bind.annotation.RestController *;@org.springframework.beans.factory.annotation.Qualifier *;@io.swagger.annotations.ApiParam *;@org.springframework.validation.annotation.Validated *;@io.swagger.annotations.ApiModelProperty *;@javax.validation.constraints.NotNull *;@javax.validation.constraints.Size *;@javax.validation.constraints.NotBlank *;@javax.validation.constraints.Pattern *;}
-keep class org.springframework.** {*;}
-keep public class ch.qos.logback.**{*;}
-keep class com.fasterxml.jackson.** { *; }#忽略warn消息
-ignorewarnings
#打印配置信息
-printconfiguration#入口程序类不能混淆，混淆会导致springboot启动不了
-keep public class com.zhubayi.proguarddemo.ProguardDemoApplication { *;}#mybatis的mapper/实体类不混淆，否则会导致xml配置的mapper找不到 ( 保持该目录下所有类及其成员不被混淆)
#-keep class com.zhubayi.proguarddemo.mapper.** {*;}# 实体类，枚举方法不能混淆
#-keep class com.zhubayi.proguarddemo.enums.** {*;}
-keep class com.zhubayi.proguarddemo.entity.** {*;}
#controller不进行混淆
-keep class com.zhubayi.proguarddemo.controller.** {*;}# 保留特定框架或库的类,注解类
#-keep class com.zhubayi.proguarddemo.elasticsearch.** { *; }
#-keep class com.zhubayi.proguarddemo.annotation.** {*;}#还有一些配置类和Bean不能混淆 比如logPointCut   prefix 这些   @Pointcut  @ConfigurationProperties(prefix = "redisson")
#-keep class com.zhubayi.proguarddemo.aspectj.** {*;}# 全放开
#-keep class com.ugdsec.** {*;}
#保留Serializable序列化的类不被混淆
# controller 层映射前台参数的类、后端返回的 bean 属性类等，不能混淆类的成员属性（如变成 string a;）
-keepclassmembers  class * implements java.io.Serializable {*;}# 不混淆所有的set/get方法
#-keepclassmembers public class * {void set*(***);*** get*();}

pom.xml配置示例 (注意：它必须要放到spring-boot-maven-plugin上面)

<build><plugins><plugin><groupId>com.github.wvengen</groupId><artifactId>proguard-maven-plugin</artifactId><version>2.6.0</version><executions><!-- 以下配置说明执行mvn的package命令时候，会执行proguard--><execution><phase>package</phase><goals><goal>proguard</goal></goals></execution></executions><configuration><!-- 是否混淆 默认是true --><obfuscate>true</obfuscate><!-- 防止本地编译的时候路径太长编译失败--><putLibraryJarsInTempDir>true</putLibraryJarsInTempDir><!-- 就是输入Jar的名称，我们要知道，代码混淆其实是将一个原始的jar，生成一个混淆后的jar，那么就会有输入输出。 --><injar>${project.build.finalName}.jar</injar><!-- 输出jar名称，输入输出jar同名的时候就是覆盖，也是比较常用的配置。 --><outjar>${project.build.finalName}.jar</outjar><!-- 配置一个文件，通常叫做proguard.cfg,该文件主要是配置options选项，也就是说使用proguard.cfg那么options下的所有内容都可以移到proguard.cfg中 --><proguardInclude>${project.basedir}/proguard.cfg</proguardInclude><!-- 额外的jar包，通常是项目编译所需要的jar --><libs><lib>${java.home}/lib/rt.jar</lib><lib>${java.home}/lib/jce.jar</lib><lib>${java.home}/lib/jsse.jar</lib></libs><!-- 对输入jar进行过滤比如，如下配置就是对META-INFO文件不处理。 --><!--                    <inLibsFilter>!META-INF/**,!META-INF/versions/9/**.class</inLibsFilter>--><!-- 这是输出路径配置，但是要注意这个路径必须要包括injar标签填写的jar --><outputDirectory>${project.basedir}/target</outputDirectory><!--这里特别重要，此处主要是配置混淆的一些细节选项，比如哪些类不需要混淆，哪些需要混淆--><options><!-- 可以在这里写option标签配置，不过我上面使用了proguardInclude，所以可以在proguard.cfg中配置 --><!--JDK8--><!--<option>-target 1.8</option>--><!-- 不做收缩（删除注释、未被引用代码）--><!--<option>-dontshrink</option>--><!-- 不做优化（变更代码实现逻辑）--><!--<option>-dontoptimize</option>--><!-- 不路过非公用类文件及成员--><!--<option>-dontskipnonpubliclibraryclasses</option>--><!--<option>-dontskipnonpubliclibraryclassmembers</option>--><!--不用大小写混合类名机制--><!--<option>-dontusemixedcaseclassnames</option>--></options><!--子模块--><assembly><inclusions><!--<inclusion>--><!--    <groupId>com.zhubayi</groupId>--><!--    <artifactId>chen-system</artifactId>--><!--</inclusion>--></inclusions></assembly></configuration><dependencies><dependency><groupId>com.guardsquare</groupId><artifactId>proguard-base</artifactId><version>7.1.1</version><scope>runtime</scope></dependency><!--<dependency>--><!--    <groupId>com.guardsquare</groupId>--><!--    <artifactId>proguard-core</artifactId>--><!--    <version>7.1.1</version>--><!--    <scope>runtime</scope>--><!--</dependency>--></dependencies></plugin><!--  proguard 代码混淆配置  结束--><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId><configuration><!-- 如果没有该配置，devtools不会生效 --><fork>true</fork><mainClass>com.zhubayi.proguarddemo.ProguardDemoApplication</mainClass><!--<excludeGroupIds>com.zhubayi</excludeGroupIds>--></configuration><executions><execution><goals><goal>repackage</goal></goals></execution></executions></plugin></plugins></build>

注意：

<proguardInclude>${project.basedir}/proguard.cfg</proguardInclude>

${project.basedir}/proguard.cfg表示当前项目的根目录，所以需要把proguard.cfg放在当前项目的根目录

然后进行打包

打包之后会多出三个文件

<!-- 就是输入Jar的名称，我们要知道，代码混淆其实是将一个原始的jar，生成一个混淆后的jar，那么就会有输入输出。 -->
<injar>${project.build.finalName}.jar</injar><!-- 输出jar名称，输入输出jar同名的时候就是覆盖，也是比较常用的配置。 -->
<outjar>${project.build.finalName}.jar</outjar>

从pom打包配置可以得到，proguard-demo-0.0.1-SNAPSHOT.jar，就是项目混淆后的jar包。
而proguard-demo-0.0.1-SNAPSHOT_proguard_base.jar就是正常的包，没有进行混淆。

反编译查看

下载反编译工具 jd-gui

打开然后选择刚刚的混淆jar包

这里面对springboot相关的都进行过过滤，所以剩下的都是和springboot无关的类， entity包、主启动类和controller包配置没有进行混淆，所以还是原来的名字，其他都进行了混淆，类名称都直接缩写成了小写字母a,b,c…

启动测试

D:\IdeaProjects\mytools\proguard-demo\target>java -jar proguard-demo-0.0.1-SNAPSHOT.jar.   ____          _            __ _ _/\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \
( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \\\/  ___)| |_)| | | | | || (_| |  ) ) ) )'  |____| .__|_| |_|_| |_\__, | / / / /=========|_|==============|___/=/_/_/_/:: Spring Boot ::       (v2.3.12.RELEASE)2024-08-09 10:45:52.197  INFO 18600 --- [           main] c.z.p.ProguardDemoApplication            : Starting ProguardDemoApplication v0.0.1-SNAPSHOT on zhubayi-computer with PID 18600 (D:\IdeaProjects\mytools\proguard-demo\target\proguard-demo-0.0.1-SNAPSHOT.jar started by zhubayi in D:\IdeaProjects\mytools\proguard-demo\target)
2024-08-09 10:45:52.199  INFO 18600 --- [           main] c.z.p.ProguardDemoApplication            : No active profile set, falling back to default profiles: default
2024-08-09 10:45:53.664  INFO 18600 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat initialized with port(s): 8080 (http)
2024-08-09 10:45:53.674  INFO 18600 --- [           main] o.apache.catalina.core.StandardService   : Starting service [Tomcat]
2024-08-09 10:45:53.675  INFO 18600 --- [           main] org.apache.catalina.core.StandardEngine  : Starting Servlet engine: [Apache Tomcat/9.0.46]
2024-08-09 10:45:53.730  INFO 18600 --- [           main] o.a.c.c.C.[Tomcat].[localhost].[/]       : Initializing Spring embedded WebApplicationContext
2024-08-09 10:45:53.730  INFO 18600 --- [           main] w.s.c.ServletWebServerApplicationContext : Root WebApplicationContext: initialization completed in 1488 ms
2024-08-09 10:45:53.887  INFO 18600 --- [           main] o.s.s.concurrent.ThreadPoolTaskExecutor  : Initializing ExecutorService 'applicationTaskExecutor'
2024-08-09 10:45:54.028  INFO 18600 --- [           main] o.s.b.w.embedded.tomcat.TomcatWebServer  : Tomcat started on port(s): 8080 (http) with context path ''
2024-08-09 10:45:54.035  INFO 18600 --- [           main] c.z.p.ProguardDemoApplication            : Started ProguardDemoApplication in 2.143 seconds (JVM running for 2.561)

成功获取到了数据。