混淆和打包插件的使用
1. 混淆插件
- 插件名称:
proguard-maven-plugin
- Github地址: https://github.com/wvengen/proguard-maven-plugin
- 使用举例:
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.0.13</version>
<executions>
<execution>
<!-- 混淆时刻,这里是打包的时候混淆-->
<phase>package</phase>
<goals>
<!-- 使用插件的什么功能: 混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否将生成的PG文件安装部署-->
<attach>true</attach>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<!-- 指定生成文件分类 -->
<attachArtifactClassifier>pg</attachArtifactClassifier>
<options>
<!-- JDK目标版本1.8-->
<option>-target 1.8</option>
<!-- 不做收缩(删除注释、未被引用代码)-->
<option>-dontshrink</option>
<!-- 不做优化(变更代码实现逻辑)-->
<option>-dontoptimize</option>
<!-- 不路过非公用类文件及成员-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
<option>-allowaccessmodification</option>
<!-- 确定统一的混淆类的成员名称来增加混淆-->
<option>-useuniqueclassmembernames</option>
<!--保证spring注解能力-->
<!--<option>--keepdirectories</option>-->
<!-- 不混淆所有包名,本人测试混淆后WEB项目问题实在太多,毕竟Spring配置中有大量固定写法的包名-->
<option>-keeppackagenames</option>
<!-- 不混淆所有特殊的类-->
<option>-keepattributes
Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod
</option>
<!-- 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<!-- 不混淆commonmodel,model包中的所有类以及类的属性及方法,实体包,混淆了会导致前端无法识别-->
<option>-keep class com.xxx.web.commonmodel.** {*;}</option>
<option>-keep class com.xxx.web.model.** {*;}</option>
<!--不混淆JNI相关接口-->
<option>-keep class com.xxx.dasheng_cluster.service.** {*;}</option>
<option>-keep class com.xxx.dasheng_selfsampling.service.** {*;}</option>
<!-- 非核心业务类,不作混淆 -->
<option>-keep class com.xxx.web.util.** {*;}</option>
<option>-keep class com.xxx.web.Swagger2 {*;}</option>
<!-- 以下三个包因为大部分是Spring管理的Bean,不对包类的类名进行混淆,但对类中的属性和方法混淆-->
<option>-keep class com.xxx.web.controller.**</option>
<option>-keep class com.xxx.web.service.**</option>
<option>-keep class com.xxx.web.singleton.**</option>
<!-- 不混淆凭证包下的所有类名,但对类中的属性、方法进行混淆-->
<option>-keep class com.xxx.web.executors.**</option>
<option>-keep class com.xxx.web.interceptor.**</option>
<!-- 不混淆启动类,否则spring-boot不能正常启动 -->
<option>-keep class com.xxx.web.Application</option>
<!-- 忽略打包时的告警信息 -->
<option>-ignorewarnings</option>
</options>
<outjar>${project.build.finalName}-pg.jar</outjar>
<!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
<libs>
<lib>${java.home}/lib/rt.jar</lib>
<lib>${java.home}/lib/jce.jar</lib>
</libs>
<!-- 加载文件的过滤器,就是你的工程目录了-->
<inFilter>com/xxx/dasheng/**</inFilter>
<!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
<injar>classes</injar>
<!-- 输出目录-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
</plugin>
4.注意:
- 打包后会有两个 jar 包, 其中
${project.build.finalName}-pg.jar
是混淆后输出的jar, 另一个就是工程输出的包. - 使用混淆后的包对工程输出的包进行覆盖,具体如下: 比如混淆后的jar包叫做
class-pg.jar
, 工程的输出jar为xxx-SNAPSHOT.jar
- 执行
sudo ${JAVA_HOME}/bin/jar xvf ./classes-pg.jar >/dev/null
解压混淆包 - 执行
${JAVA_HOME}/bin/jar xvf ./xxx-SNAPSHOT.jar >/dev/null
解压输出包 - 用解压后的混淆包覆盖原始输出包的相关文件,达到混淆的目的
- 进入混淆后的输出包目录下,执行
sudo ${JAVA_HOME}/bin/jar cvfM0 ../xxx-SNAPSHOT-pg.jar ./* >/dev/null
进行重新打包.xxx-SNAPSHOT-pg.jar
就是最终的可执行的混淆输出包.
2.打包插件
- 插件名称:
proguard-maven-plugin
- 插件地址: http://www.mojohaus.org/appassembler/appassembler-maven-plugin/
- 使用举例:
<plugin>
<groupId>org.codehaus.mojo</groupId>
<artifactId>appassembler-maven-plugin</artifactId>
<version>2.0.0</version>
<configuration>
<assembleDirectory>target/app</assembleDirectory>
<repositoryName>lib</repositoryName>
<repositoryLayout>flat</repositoryLayout>
<!-- 配置文件的目标目录 -->
<configurationDirectory>conf</configurationDirectory>
<!-- 拷贝配置文件到上面的目录中 -->
<copyConfigurationDirectory>true</copyConfigurationDirectory>
<!-- 从哪里拷贝配置文件 (默认src/main/config) -->
<configurationSourceDirectory>src/main/resources</configurationSourceDirectory>
<filterConfigurationDirectory>true</filterConfigurationDirectory>
<useWildcardClassPath>true</useWildcardClassPath>
<programs>
<program>
<mainClass>com.xxx.web.Application</mainClass>
<name>Application</name>
<jvmSettings>
<extraArguments>
<extraArgument>-Dapp.init.name="Application"</extraArgument>
<extraArgument>-server</extraArgument>
<extraArgument>-Xmx2G</extraArgument>
<extraArgument>-Xms2G</extraArgument>
</extraArguments>
</jvmSettings>
</program>
</programs>
</configuration>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>assemble</goal>
</goals>
</execution>
</executions>
</plugin>
4.注意:
- 插件打包后有三层目录, 名称和作用如下
-
bin
: 启动程序的脚本目录, 默认支持windows 和 linux 两种操作系统.替代java -jar xxx.jar
的启动方式. -
conf
: 配置文件目录 -
lib
: 工程 pom文件依赖的所有 jar包在这个目录下
-
- 使用插件时,所有的依赖的jar都要在pom文件中进行
dependency
.如过某个jar包是从外部引入的, 需要添加到本地或者远程maven仓库中,然后进行依赖. 比如有可能会建立一个lib
目录引入pom文件中没有的jar,这种jar是不能引入到如上所述的三层目录的lib
目录下的,程序启动会报异常.