使用proguard混淆springboot程式碼

go4it發表於2019-03-04

序

本文主要研究下如何使用proguard混淆springboot程式碼

maven

			<plugin>
				<groupId>com.github.wvengen</groupId>
				<artifactId>proguard-maven-plugin</artifactId>
				<executions>
					<execution>
						<phase>package</phase>
						<goals><goal>proguard</goal></goals>
					</execution>
				</executions>
				<configuration>
					<proguardVersion>5.3.3</proguardVersion>
					<injar>${project.build.finalName}.jar</injar>
					<outjar>${project.build.finalName}.jar</outjar>
					<obfuscate>true</obfuscate>
					<proguardInclude>${project.basedir}/proguard.cfg</proguardInclude>
					<libs>
						<!-- Include main JAVA library required.-->
						<lib>${java.home}/lib/rt.jar</lib>
						<!-- Include crypto JAVA library if necessary.-->
						<lib>${java.home}/lib/jce.jar</lib>
					</libs>
				</configuration>
				<dependencies>
					<dependency>
						<groupId>net.sf.proguard</groupId>
						<artifactId>proguard-base</artifactId>
						<version>5.3.3</version>
					</dependency>
				</dependencies>
			</plugin>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
				<executions>
					<execution>
						<goals>
							<goal>repackage</goal>
						</goals>
						<configuration>
							<mainClass>com.example.demo.MvcDemoApplication</mainClass>
						</configuration>
					</execution>
				</executions>
			</plugin>
複製程式碼

這裡引用了com.github.wvengen的proguard-maven-plugin外掛，使用的proguard-base版本是5.3.3
這裡使用java8，因此libs那裡照常配置rt.jar，jce.jar，如果是java9的話，則需要換成相應的模組。
另外指定proguard的階段為package，springboot打包在repackage階段

proguard.cfg

主要的重點在這個proguard.cfg配置

-target 1.8 ##指定java版本號
-dontshrink ##預設是開啟的，這裡關閉shrink，即不刪除沒有使用的類/成員
-dontoptimize ##預設是開啟的，這裡關閉位元組碼級別的優化
-useuniqueclassmembernames ##對於類成員的命名的混淆採取唯一策略
-adaptclassstrings ## 混淆類名之後，對使用Class.forName(`className`)之類的地方進行相應替代
-dontusemixedcaseclassnames ## 混淆時不生成大小寫混合的類名，預設是可以大小寫混合

-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod ##對異常、註解資訊在runtime予以保留，不然影響springboot啟動
-keepclasseswithmembers public class * { public static void main(java.lang.String[]);} ##保留main方法的類及其方法名
-keepclassmembers enum * { *; }  ##保留列舉成員及方法
複製程式碼

proguard引數太多，謹慎起見，這裡關閉shrink，關閉optimize，從基本的配置起
有2點要注意，1就是要保留main方法的類及方法名，不然啟動不了；2就是要通過keepattributes保留註解等原資訊，不然影響springboot啟動
這裡因為示例工程用到了列舉，所以也保留了列舉

bean命名重複異常

由於proguard混淆貌似不能指定在basePackages下面類名混淆後唯一，不同包名經常有a.class，b.class,c.class之類重複的類名，因此spring容器初始化bean的時候會報錯。

異常資訊

org.springframework.beans.factory.BeanDefinitionStoreException: Failed to parse configuration class [com.example.demo.MvcDemoApplication]; nested exception is org.springframework.context.annotation.ConflictingBeanDefinitionException: Annotation-specified bean name `a` for bean class [com.example.demo.c.a] conflicts with existing, non-compatible bean definition of same name and class [com.example.demo.b.a]
	at org.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:181) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:308) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:228) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:270) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:93) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:687) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:525) ~[spring-context-4.3.10.RELEASE.jar!/:4.3.10.RELEASE]
	at org.springframework.boot.context.embedded.EmbeddedWebApplicationContext.refresh(EmbeddedWebApplicationContext.java:122) ~[spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:693) [spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:360) [spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:303) [spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1118) [spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at org.springframework.boot.SpringApplication.run(SpringApplication.java:1107) [spring-boot-1.5.5.RELEASE.jar!/:1.5.5.RELEASE]
	at com.example.demo.MvcDemoApplication.main(MvcDemoApplication.java:10) [classes!/:0.0.1-SNAPSHOT]
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) ~[na:1.8.0_151]
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) ~[na:1.8.0_151]
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) ~[na:1.8.0_151]
	at java.lang.reflect.Method.invoke(Method.java:498) ~[na:1.8.0_151]
	at org.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:48) [app.jar:0.0.1-SNAPSHOT]
	at org.springframework.boot.loader.Launcher.launch(Launcher.java:87) [app.jar:0.0.1-SNAPSHOT]
	at org.springframework.boot.loader.Launcher.launch(Launcher.java:50) [app.jar:0.0.1-SNAPSHOT]
	at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:51) [app.jar:0.0.1-SNAPSHOT]
複製程式碼

更換bean命名策略

慶幸的是，我們可以通過改變spring的bean的命名策略來解決這個問題，把包名帶上，就唯一了

@SpringBootApplication
public class MvcDemoApplication {

	public static class CustomGenerator implements BeanNameGenerator {

		@Override
		public String generateBeanName(BeanDefinition definition, BeanDefinitionRegistry registry) {
			return definition.getBeanClassName();
		}
	}

	public static void main(String[] args) {
		new SpringApplicationBuilder(MvcDemoApplication.class)
				.beanNameGenerator(new CustomGenerator())
				.run(args);
	}
}
複製程式碼

至此大功告成

小結

本文的proguard配置僅僅是根據自身工程的情況來量身定做的，不是通用的，具體的場景還需要根據具體情況對proguard引數進行調整。

doc

ProGuard程式碼混淆技術詳解
2016-05-27
Android程式碼混淆配置（Proguard檔案解析）
2016-05-19
Android
Eclipse與Android原始碼中ProGuard工具的使用（程式碼混淆）
2014-07-29
EclipseAndroid原始碼
Android混淆(Proguard)詳解
2018-05-01
Android
SpringBoot程式碼混淆與反混淆加密工具詳解
2023-12-20
Spring Boot加密
轉載：混淆包含SlidingMenu、gson等Android程式碼的proguard寫法
2014-03-21
Android
Flutter 程式碼混淆混淆Dart程式碼
2021-08-19
FlutterDart
ios加固，ios程式碼混淆，ios程式碼混淆工具， iOS原始碼混淆使用說明詳解
2020-06-11
iOS原始碼
Java 混淆那些事（一）：重新認識 ProGuard
2019-03-24
Java
Java 混淆那些事（二）：認識 ProGuard GUI
2019-03-24
JavaGUI
Android Proguard混淆對抗之我見
2022-06-01
Android
【程式碼混淆】react-native 程式碼混淆
2023-12-26
React
程式碼混淆工具ipaguard：如何使用ipaguard保護和混淆iOS應用程式程式碼
2023-09-20
iOS
Java 混淆那些事（五）：ProGuard 其他的選項
2019-03-24
Java
android 混淆檔案proguard.cfg詳解
2012-03-14
Android
Spring Boot使用Allatori程式碼混淆
2019-03-03
Spring Boot
使用模擬器混淆前端程式碼
2016-09-19
前端
Java開源的混淆器 Proguard詳細介紹
2018-11-12
Java
js程式碼混淆
2024-11-19
JS
Android程式碼混淆&元件化混淆方案
2020-11-20
Android元件化
鴻蒙程式碼配置混淆
2021-05-06
鴻蒙
Android程式碼混淆
2013-11-15
Android
iOS安全/程式碼混淆
2017-12-20
iOS
被黑客們使用的程式碼混淆技術
2012-04-17
黑客
[譯] 在 Android Instant App（安卓即時應用程式）中啟用 ProGuard （混淆）
2018-03-19
AndroidAPP安卓
Python程式碼混淆工具，Python原始碼保密、加密、混淆
2024-02-05
Python原始碼加密
程式碼混淆與反混淆學習-第二彈
2023-04-09
powershell程式碼混淆繞過
2020-06-21
前端程式碼安全與混淆
2023-04-12
前端
iOS 初探程式碼混淆（OC）
2018-05-24
iOS
程式碼混淆的規則
2015-12-22
聊聊如何進行程式碼混淆
2022-01-26
行程
iOS應用加固--程式碼混淆
2018-08-07
iOS
Android 程式碼混淆規則
2018-07-17
Android
教你5步搞定程式碼混淆
2017-04-20
Android Studio 程式碼混淆
2017-06-19
Android
Android 專案程式碼混淆
2014-09-24
Android
Python 程式碼混淆工具概述
2024-04-01
Python

使用proguard混淆springboot程式碼

序

maven

proguard.cfg

bean命名重複異常

異常資訊

更換bean命名策略

小結

doc

相關文章