当前位置: 首页>后端>正文

springboot代码混淆的模块怎么在其他模块使用 springboot 混淆

前面主要描述碰到的问题,文章后面会给出我的proguard-maven-plugin插件的完整配置

proguard-maven-plugin 插件版本 2.3.1,proguard-base版本7.0.0

  1. 1.混淆后自己全部代码没有被放入混淆后的jar包里(jar\BOOT-INF\classes 里面不包含com)

原因: proguard-maven-plugin插件放到了spring-boot-maven-plugin插件后面,应该是因为spring-boot-maven-plugin放在前面会先执行spring-boot-maven-plugin的repackage再执行proguard-maven-plugin的混淆,混淆后没有重新repackage

解决:把proguard-maven-plugin插件放到spring-boot-maven-plugin前面

2.DataSource,Aop,swagger等相关配置类混淆后导致的运行报错

原因:比如Aop是因为用@Around(value = "apiLog()")指定apiLog方法对应的@Pointcut作为切入点,但是因为apiLog方法被混淆成a导致找不到对应apiLog方法。就不一一列举了

解决:我是直接把所有配置类放到framework下面,然后proguard-maven-plugin配置让framework 下面的类和方法全部不混淆,这样省事点

-keep class com.zzz.framework.** {
    *;
}

3.aop事务控制,事务失效问题

原因:因为aop pointcut 是根据包路径和方法名(update,find)拦截,service 混淆后 包路径和方法名都变成 a,b导致拦截不到

解决:不混淆包路径和方法public方法名,如下

#不混淆service下的public方法名
-keepclassmembers class com.zzz.api.*.service.** {public *** *(...);}
#不混淆service包名
-keeppackagenames com.zzz.api.*.service.**

4.运行项目beanName冲突问题

原因:混淆后的类名都是a,b,c,默认注册到ioc中是以类名作为BeanName,BeanName不能重复。

解决:重新定义beanName的生成策略,如下

public class Application {

    public static void main(String[] args) {
        new SpringApplicationBuilder(Application.class)
                .beanNameGenerator(new ProGuardBeanNameGenerator())
                .run(args);
    }
}

/**
 * 由于需要混淆代码,混淆后类都是A B C,spring 默认是把A B C当成BeanName,BeanName又不能重复导致报错
 * 所以需要重新定义BeanName生成策略
 * 不能重写generateBeanName方法,因为有些Bean会自定义BeanName,所以这些情况还需要走原来的逻辑
 *
 */
public class ProGuardBeanNameGenerator extends AnnotationBeanNameGenerator {

    /**
     * 重写buildDefaultBeanName
     * 其他情况(如自定义BeanName)还是按原来的生成策略,只修改默认(非其他情况)生成的BeanName带上 包名
     *
     * @param definition
     * @return
     */
    @Override
    public String buildDefaultBeanName(BeanDefinition definition) {
        return definition.getBeanClassName();
    }
}

5.swagger 文档看不到api,以及接口请求参数controller 参数绑定报错

原因:

1)swagger 文档看不到api:因为我swagger配置的api 是通过.apis(RequestHandlerSelectors.basePackage(packageName))指定了具体包名,controller混淆后包名变成a,b,c所以扫描不到接口自然就生成不了文档

2)api接口请求出错:spring接口参数绑定是根据参数名称,混淆后参数名称会变成var1等,绑定的时候找不到原来定义的参数名就报错了.

解决:proguard-maven-plugin配置所有controller public 方法不参与混淆以及参数也不参与混淆,如下
#所有controller类的public方法你参与混淆
<option>-keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);}</option>
#不混淆controller的包路径
<option>-keeppackagenames com.zzz.api.*.controller</option>

#参数不参与混淆
<option>-keepparameternames</option>

6.spring controller 参数绑定问题

原因:spring参数绑定有些是根据controller的方法参数名称绑定的,参数名称混淆后就会绑定不上

解决:

方法1:Controller用如@RequestParam的方式绑定

方法2:

-keepparameternames,这个参数可以让不被混淆的方法也不会混淆其参数,对interface无效.
<option>-keepparameternames</option>
  ②. 因为第①步的配置,那只要配置controller里的方法不混淆,那么方法参数也就不会混淆了,如下
-keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);}

 7.mybatis 参数绑定报错org.apache.ibatis.binding.BindingException

原因:和第6点类似,因为方法参数被混淆,所以导致mybatis的mapper(是interface)定义的接口参数Id被混淆成 var1,mybatis xml #{id}绑定的时候只能找到var1于是BindingException.但是不能用第6点的方法2,因为keepparameternames 能让keep的class参数不混淆,却不能让interface的参数不参与混淆,而mybatis的mapper就是interface

解决:

方法1:mapper的参数 用 @Param("id") 强行绑定
方法2:此方法也可以解决第6点的问题

①. 配置 -keepattributes MethodParameters ,这个参数可以让不管有没有参与混淆的类的方法参数都不参与混淆,对类和接口都生效,但是这样会导致即使参与混淆的类也无法混淆参数

-keepattributes MethodParameters

②. 上面的配置是可以让所有方法参数不被proguard混淆,但是有些项目在java编译的时候却可能会对方法参数混淆(好像是针对interface方法参数的混淆,不针对class).所以可以配置编译时不混淆方法参数(-parameters),如下所示(这个根据自己项目实际情况配置,好像是和idea版本有关系)

<plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.8.1</version>
                <configuration>
                    <compilerArgument>-parameters</compilerArgument>
                </configuration>
    </plugin>

8. CreateProcess error=206, 文件名或扩展名太长。

原因:因为window的cmd有长度限制,而proguard混淆时依赖太多的jar包导致命令行过长

解决:在proguard-maven-plugin的configuration中加入下面配置,这个配置会把jar包放到临时目录以便缩短命令行

<putLibraryJarsInTempDir>true</putLibraryJarsInTempDir>

9.其他模块依赖混淆(推荐B方案)

① A方案(此处其他模块不混淆非私有的方法名和类名和变量名,只混淆方法里的代码及私有方法)

这里是其他模块的混淆配置

如果有zzz-web和zzz-common两个模块,zzz-web是springboot项目,zzz-common包含一些公用的代码,也包含有@Component相关类,zzz-web依赖zzz-common,

这种情况我对zzz-common的混淆是不混淆public的方法名和类名,只混淆方法里面的代码,否则假设zzz-common 有 StringUtils.isNotBlank方法,混淆后变成a.b,那么在zzz-web里面调用 StringUtils.isNotBlank要用a.b

配置方法:zzz-common pom.xml配置proguard-maven-plugin,且option包含如下配置

#混淆方法里面的代码,不混淆非私有的方法名和类名和变量名,否则被其他模块依赖时调用的类和方法名都需要用a,b,c
-keep class ** {
    !private *** *;
    !private *** *(...);
}

问题:由于proguard混淆zzz-common后生成的jar包有问题,导致zzz-common 里面注解@Component的类无法被springboot扫描注册到BeanFactory,所以如果用@Autowired注入这些类会导致启动的时候not found这些bean。

解决:

方法一:配置让zzz-web打包时依赖zzz-common不是以jar的方式,而是把zzz-common的代码放到zzz-web的jar包里面,配置如下:

1).在zzz-web的pom.xml里面给proguard-maven-plugin的configuration增加assembly配置

<plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <configuration>
                    <!-- 把依赖的项目其他模块(com.zzz)的class放入当前生成jar包
(由于对其他模块进行混淆生成的jar包格式不对,导致用jar的形式放入 当前项目jar的lib里运行会扫描不到其他模块的相关bean,所以配置把其他模块相关的jar的class放入当前jar包里可以避免这样的问题,另一种解决方案是其他依赖包在用proguard混淆成jar包后对该jar包重新打包) -->
                    <assembly>
                        <inclusions>
                            <inclusion>
                                <library>true</library>
                                <!-- groupId是zzz-common模块的groupId -->
                                <groupId>com.zzz</groupId>
                                <artifactId>*</artifactId>
                            </inclusion>
                        </inclusions>
                    </assembly>
                </configuration>
            </plugin>

2).在zzz-web的pom.xml里给spring-boot-maven-plugin增加excludeGroupIds排除 zzz-common的groupId让zzz-common的jar包不会放入zzz-web的lib里

<plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                    <configuration>
                        <!-- 如果没有该配置,devtools不会生效 -->
                        <fork>true</fork>
                        <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了-->
                        <excludeGroupIds>
                            com.zzz
                        </excludeGroupIds>
                        <!-- end:混淆配置 -->
                    </configuration>
                </plugin>

方法二:修改proguard-maven-plugin插件的源码,让proguard-maven在用proguard混淆zzz-common之后生成 zzz-common.jar后对zzz-common.jar重新打包.这样生成的jar包就可以让springboot使用.

修改方法:把proguard-maven-plugin:2.3.1 ProGuardMojo.java 第700行 “if ((assembly != null) && (hasInclusionLibrary)) { 给注释掉即可。结尾的 “}”也要注释

springboot代码混淆的模块怎么在其他模块使用 springboot 混淆,springboot代码混淆的模块怎么在其他模块使用 springboot 混淆_java,第1张

我修改源码后的资源下载链接

这个if里面的代码可以对proguard生成的jar重新打包,但是需要配置方法1中的assembly配置才会触发,注释掉让他默认都会对proguard生成的jar重新打包就可以解决proguard的jar不能用的问题

方法三:自己写个maven插件重新打包或者网上找个能用的插件(至少我没找到)

② B方案

在混淆前 先用maven-assembly-plugin插件把 zzz-common和zzz-web 合并打包成一个jar包,之后再用proguard-maven-plugin对这个jar包进行混淆,然后用spring-boot-maven-plugin对混淆后的jar repackage;因为是先把zzz-common和zzz-web合并成一个jar后再进行混淆,所以就不存在上面说的不能混淆方法等问题。

注意:pom.xml的插件顺序要按maven-assembly-plugin->proguard-maven-plugin->spring-boot-maven-plugin,否则上面的执行顺序不一样可能导致最后生成的jar有问题。

配置如下:

1)在zzz-web的pom.xml增加maven-assembly-plugin插件

<plugin>
                    <groupId>org.apache.maven.plugins</groupId>
                    <artifactId>maven-assembly-plugin</artifactId>
                    <version>3.3.0</version>
                    <configuration>
                        <!-- 打包生成的包不拼接xml里的id 为后缀 -->
                        <appendAssemblyId>false</appendAssemblyId>
                        <!--打包文件路径-->
                        <descriptors>
                            <descriptor>${project.basedir}/assembly.xml</descriptor>
                        </descriptors>
                    </configuration>
                    <executions>
                        <execution>
                            <id>assembly-package</id>
                            <phase>package</phase>
                            <goals>
                                <goal>single</goal>
                            </goals>
                        </execution>
                    </executions>
                </plugin>
assembly.xml
<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="http://maven.apache.org/ASSEMBLY/2.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://maven.apache.org/ASSEMBLY/2.0.0 http://maven.apache.org/xsd/assembly-2.0.0.xsd">

    <!--项目标识,设置的话,生成后的zip文件会加上此后缀-->
    <id>${project.version}</id>
    <!--打包格式-->
    <formats>
        <format>jar</format>
    </formats>
    <!--压缩包下是否生成和项目名相同的根目录-->
    <includeBaseDirectory>false</includeBaseDirectory>
    <fileSets>
        <fileSet>
            <directory>${project.build.directory}/classes</directory>
            <outputDirectory>/</outputDirectory>
        </fileSet>
    </fileSets>
    <dependencySets>
        <!-- 把依赖的项目其他模块代码放到jar包里,方便对其他模块代码 -->
        <dependencySet>
            <outputDirectory>/</outputDirectory>
            <includes>
                <include>com.zzz:*</include>
            </includes>
            <unpack>true</unpack>
        </dependencySet>
    </dependencySets>

</assembly>

2).在zzz-web的pom.xml里给spring-boot-maven-plugin增加excludeGroupIds排除 zzz-common的groupId让zzz-common的jar包不会放入zzz-web的lib里

<plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                    <configuration>
                        <!-- 如果没有该配置,devtools不会生效 -->
                        <fork>true</fork>
                        <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了-->
                        <excludeGroupIds>
                            com.zzz
                        </excludeGroupIds>
                        <!-- end:混淆配置 -->
                    </configuration>
                </plugin>

完整配置

我的proguard-maven-plugin插件的相关配置

1.pom.xml
<plugin>
                    <groupId>org.apache.maven.plugins</groupId>
                    <artifactId>maven-assembly-plugin</artifactId>
                    <version>3.3.0</version>
                    <configuration>
                            <!-- 打包生成的包不拼接xml里的id 为后缀 -->
                        <appendAssemblyId>false</appendAssemblyId>
                        <!--打包文件路径-->
                        <descriptors>
                            <descriptor>${project.basedir}/assembly.xml</descriptor>
                        </descriptors>
                    </configuration>
                    <executions>
                        <execution>
                            <id>assembly-package</id>
                            <phase>package</phase>
                            <goals>
                                <goal>single</goal>
                            </goals>
                        </execution>
                    </executions>
                </plugin>
 <!-- 代码混淆 -->
                <plugin>
                    <groupId>com.github.wvengen</groupId>
                    <artifactId>proguard-maven-plugin</artifactId>
                    <version>2.3.1</version>
                    <executions>
                        <execution>
                            <!-- 打包的时候开始混淆-->
                            <phase>package</phase>
                            <goals>
                                <goal>proguard</goal>
                            </goals>
                        </execution>
                    </executions>
                    <configuration>
                        <injar>${project.build.finalName}.jar</injar>
                        <!--输出的jar-->
                        <outjar>${project.build.finalName}.jar</outjar>
                        <!-- 是否混淆-->
                        <obfuscate>true</obfuscate>
                        <proguardInclude>${basedir}/proguard.cfg</proguardInclude>
                        <injarNotExistsSkip>true</injarNotExistsSkip>
                        <!-- 把依赖的项目其他模块的class放入当前打的jar包(proguard由于对其他模块进行混淆生成的jar包格式不对,导致用jar的形式放入 lib 运行会扫描不到相关bean,所以配置把相关jar的class放入当前jar包可以避免这样的问题,另一种解决方案是其他依赖包在用proguard混淆成jar包后对该jar包重新打包) -->
                        <assembly>
                            <inclusions>
                                <inclusion>
                                    <library>true</library>
                                    <!-- 对应模块的groupId -->
                                    <groupId>com.zzz</groupId>
                                    <artifactId>*</artifactId>
                                </inclusion>
                            </inclusions>
                        </assembly>
                        <options>
                            <!--指定java版本号-->
                            <option>-target 1.8</option>
                            <!--不做收缩(删除注释、未被引用代码)-->
                            <option>-dontshrink</option>
                            <!--默认是开启的,这里关闭字节码级别的优化-->
                            <option>-dontoptimize</option>
                            <!--混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代-->
                            <option>-adaptclassstrings</option>
                            <!--混淆时不生成大小写混合的类名,默认是可以大小写混合-->
                            <option>-dontusemixedcaseclassnames</option>
                            <!--                            指定将相同的混淆名称分配给具有相同名称的类成员,并将不同混淆名称分配给名称不同的类成员,(我猜)假设两个类有相同的类成员(如方法名),则混淆后名称一样-->
                            <!--                            <option>-useuniqueclassmembernames</option>-->
                            <!-- 忽略warn消息-->
                            <option>-ignorewarnings</option>
                            <!--对异常、注解信息在runtime予以保留,不然影响springboot启动-->
                            <option>-keepattributes
                                Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod
                            </option>
                            <!--不混淆所有interface接口-->
                            <!--                        <option>-keepnames interface **</option>-->
                            <!--                            <option>-keep interface * extends * { *; }</option>-->
                            <!--保留枚举成员及方法-->
                            <option>-keepclassmembers enum * { *; }</option>
                            <!-- 不参与混淆的类参数也不混淆,controller如果参数也混淆会导致传参映射不上 -->
                            <option>-keepparameternames</option>

                            <!--不混淆带有main 方法的类 网上的配置我没用-->
                            <!--                            <option>-keepclasseswithmembers public class * {-->
                            <!--                                public static void main(java.lang.String[]);}-->
                            <!--                            </option>-->
                            <!--百度的配置,注释掉没出问题,忽略note消息,如果提示javax.annotation有问题,那麽就加入以下代码-->
                            <!--                            <option>-dontnote javax.annotation.**</option>-->
                            <!--                            <option>-dontnote sun.applet.**</option>-->
                            <!--                            <option>-dontnote sun.tools.jar.**</option>-->
                            <!--                            <option>-dontnote org.apache.commons.logging.**</option>-->
                            <!--                            <option>-dontnote javax.inject.**</option>-->
                            <!--                            <option>-dontnote org.aopalliance.intercept.**</option>-->
                            <!--                            <option>-dontnote org.aopalliance.aop.**</option>-->
                            <!--                            <option>-dontnote org.apache.logging.log4j.**</option>-->
                            <!--                            <option>-keep class org.apache.logging.log4j.util.* { *; }</option>-->
                            <!--                            <option>-dontwarn org.apache.logging.log4j.util.**</option>-->
                            <!--不混淆所有类,保存原始定义的注释,网上找到的配置,我注释掉没出现任何问题-->
                            <!--                            <option>-keepclassmembers class * {-->
                            <!--                                @org.springframework.beans.factory.annotation.Autowired *;-->
                            <!--                                @org.springframework.beans.factory.annotation.Value *;-->
                            <!--                                @org.springframework.web.bind.annotation.PostMapping *;-->
                            <!--                                @org.springframework.web.bind.annotation.DeleteMapping *;-->
                            <!--                                @org.springframework.stereotype.Repository *;-->
                            <!--                                @com.shark.example.configuration.log *;-->
                            <!--                                }-->
                            <!--                            </option>-->
                        </options>
                        <libs>
                            <!-- 添加依赖 java8-->
                            <lib>${java.home}/lib/rt.jar</lib>
                            <lib>${java.home}/lib/jce.jar</lib>
                        </libs>
                    </configuration>
                    <dependencies>
                        <!-- https://mvnrepository.com/artifact/net.sf.proguard/proguard-base -->
                        <dependency>
                            <groupId>com.guardsquare</groupId>
                            <artifactId>proguard-base</artifactId>
                            <version>7.0.0</version>
                        </dependency>
                    </dependencies>
                </plugin>
                <!-- spring-boot-maven-plugin一定要放在proguard-maven-plugin后面,否则会导致最后jar包不包含项目代码 -->
                <plugin>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-maven-plugin</artifactId>
                    <configuration>
                        <!-- 如果没有该配置,devtools不会生效 -->
                        <fork>true</fork> 
                         <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了-->
                        <excludeGroupIds>
                            com.zzz
                        </excludeGroupIds>
                        <!-- end:混淆配置 -->

                    </configuration>
                </plugin>
                <plugin>
                    <groupId>org.apache.maven.plugins</groupId>
                    <artifactId>maven-compiler-plugin</artifactId>
                    <version>3.8.1</version>
                    <configuration>
                        <!-- 配置编译时不混淆方法名,需要时在配置 -->
                        <!-- <compilerArgument>-parameters</compilerArgument> -->
                    </configuration>
                </plugin>

2.proguard.cfg(和pom.xml同目录)

#所有类(包括接口)的方法参数不混淆(包括没被keep的) 如果参数混淆了 mybatis mapper 参数绑定会出错(如#{id})
-keepattributes MethodParameters

#入口程序类不能混淆,混淆会导致springboot启动不了
-keep class com.zzz.Application {*;}

#由于spring会根据参数名称绑定参数,如果参数名称被混淆了,参数绑定是会报错,所以不混淆controller的所有的public方法(也可以不混淆类名)
#因为配置了'keepparameternames'所以不混淆方法时参数也不会混淆
-keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);}
#但是因为swagger配置了根据包路径进行扫描,所以如果混淆了会导致swagger扫描不到混淆后的包,所以不混淆controller的包路径
-keeppackagenames com.zzz.api.*.controller

#实体类不混淆不然会导致mybatis xml 配置的实体类找不到
#如果是spring jpa 用到@Query 也会导致找不到相关类
-keep class com.zzz.api.*.entity.** {*;}
-keep class com.zzz.api.*.dto.** {*;}
-keep class com.zzz.api.*.vo.** {*;}

#mybatis mapper不混淆 否则会导致xml 配置的mapper找不到
-keep class com.zzz.api.*.mapper.** {
    *;
}

#不混淆spring jpa的 repository,否则就无法根据方法名查询了
-keep class com.dataexa.fzty.deduction.repository.** {
    *;
}

#保留service的所有公共方法名,由于使用AOP控制事务,根据拦截get,update等方法进行事务控制,所以需要不混淆service下的public方法名
-keepclassmembers class com.zzz.api.*.service.** {public *** *(...);}
#不混淆service包名,由于使用AOP(POINTCUT=serivce包名包名)控制事务,所以需要保留service的包名防止找不到service
-keeppackagenames com.zzz.api.*.service.**


#frannework下都是一些配置类比如datasource,aopconfig,swaggerconfig如果混淆会导致各种启动报错,
#比如用@Around(value = "apiLog()")指定apiLog方法对应的@Pointcut作为切入点,但是因为apiLog方法被混淆成a导致找不到对应@Pointcut
#所以全部不混淆 省心点
-keep class com.zzz.framework.** {
    *;
}

#注解了Aspect的都不混淆,由于把framework下的所有类都不混淆,所以此配置就可有可无了
#-keep @org.aspectj.lang.annotation.Aspect class * {
#    *;
#}

#保留Serializable序列化的类不被混淆
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

3.assembly.xml

<?xml version="1.0" encoding="UTF-8"?>
<assembly xmlns="http://maven.apache.org/ASSEMBLY/2.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation="http://maven.apache.org/ASSEMBLY/2.0.0 http://maven.apache.org/xsd/assembly-2.0.0.xsd">

    <!--项目标识,设置的话,生成后的zip文件会加上此后缀-->
    <id>${project.version}</id>
    <!--打包格式-->
    <formats>
        <format>jar</format>
    </formats>
    <!--压缩包下是否生成和项目名相同的根目录-->
    <includeBaseDirectory>false</includeBaseDirectory>
    <fileSets>
        <fileSet>
            <directory>${project.build.directory}/classes</directory>
            <outputDirectory>/</outputDirectory>
        </fileSet>
    </fileSets>
    <dependencySets>
        <!-- 把依赖的项目其他模块代码放到jar包里,方便对其他模块代码 -->
        <dependencySet>
            <outputDirectory>/</outputDirectory>
            <includes>
                <include>com.zzz:*</include>
            </includes>
            <unpack>true</unpack>
        </dependencySet>
    </dependencySets>

</assembly>

https://www.xamrdz.com/backend/3br1960869.html

相关文章: