xxyopen


一个技术博客&学习社区&分享平台

如何给 Sring Boot 项目的 jar 包加密防止反编译,并绑定指定机器运行

  • ~2.73K 字

近日,一位朋友向我咨询,他开发了一套 Java 系统,打算在网上销售,却担心源码会被买家反编译或者 jar 包直接被二次销售。为了帮助他解决这个问题,也为了帮助大家避免类似的困扰,今天我向大家推荐一个实用的 java class 文件安全加密的开源工具。

这个工具名为 ClassFinal,可以直接加密 jar 包或 war 包,而无需修改任何项目代码。还可以设置 jar 包的启动密码,严格控制使用人员的权限。并且支持绑定机器,使得加密后的 jar 包只能在特定机器上运行。这就像给 jar 包加上了一把锁,只有拥有钥匙的机器和人员才能打开并运行它。希望这个解决方案能帮助大家解决类似的烦恼,保障软件的安全与权益。

要使用 ClassFinal,首先我们要下载 ClassFinal jar

如果我们想绑定指定机器运行,要通过如下命令去获取机器码:

1
java -jar classfinal-fatjar-1.2.1.jar -C

如果我们想直接对打包好的 jar 进行加密,可以使用如下的加密命令:

1
java -jar classfinal-fatjar.jar -file yourpaoject.jar -libjars a.jar,b.jar -packages com.yourpackage,com.yourpackage2 -exclude com.yourpackage.Main -pwd 123456 -Y
1
2
3
4
5
6
7
8
9
10
参数说明
-file        加密的jar/war完整路径
-packages    加密的包名(可为空,多个用","分割)
-libjars     jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles    需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude     排除的类名(可为空,多个用","分割)
-classpath   外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
-pwd         加密密码,如果是#号,则使用无密码模式加密
-code        机器码,在绑定的机器生成,加密后只可在此机器上运行
-Y           无需确认,不加此参数会提示确认以上信息

如果我们不想每次打包后都手动执行一次加密命令的话,可以通过 maven 插件的方式使用 ClassFinal。这样的话,我们的 maven 项目每次打包时都会自动使用 ClassFinal 加密。下面我以开源项目 novel 为例,带领大家实际体验一下。

1. 在 novel 项目的 pom.xml 文件中添加 ClassFinal 的 maven 插件配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<plugin>
    <groupId>net.roseboy</groupId>
    <artifactId>classfinal-maven-plugin</artifactId>
    <version>1.2.1</version>
    <configuration>
         <!--设置启动 jar 包的密码,加密打包之后 pom.xml 会被删除,不用担心在 jar 包里找到此密码-->
        <password>novel</password>
        <!-- 加密的包名,如果有多个就用逗号隔开 -->
        <packages>io.github.xxyopen.novel</packages>
        <!-- 加密的配置文件,如果有多个就用逗号隔开 -->
        <cfgfiles>application.yml</cfgfiles>
        <!-- 不需要加密的包名,如果有多个就用逗号隔开 -->
        <excludes>org.spring</excludes>
         <!-- jar 包中 lib 目录下需要加密的 jar 依赖,如果有多个就用逗号隔开 -->
        <libjars>novel-common.jar</libjars>
        <!-- 机器码,在绑定的机器生成,加密后只可在此机器上运行 -->
        <code>158478CA8276D5BFCCB6D</code>
    </configuration>
    <executions>
        <execution>
            <phase>package</phase>
            <goals>
                <goal>classFinal</goal>
            </goals>
        </execution>
    </executions>
</plugin>

2. 通过如下命令来启动加密后的 jar:

1
2
3
4
5
java -javaagent:novel-3.4.0-encrypted.jar='-pwd novel' -jar novel-3.4.0-encrypted.jar

//参数说明
// -pwd      加密项目的密码  
// -pwdname  环境变量中密码的名字

如果输入的密码不正确则会启动失败:

如果不是在指定机器上运行也会启动失败:

查看反编译后的 application.yml 配置文件发现只剩一片空白:

查看反编译后的 BookController.class,发现所有的方法体都被清空了,只保留了方法参数、注解等信息:

原始的 BookController.java 文件如下:

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
, , ,