springboot proguard 代码混淆
后面会给出我的proguard-maven-plugin插件的相关配置1.混淆后自己全部代码没有被放入混淆后的jar包里(jar\BOOT-INF\classes 里面不包含com)原因:proguard-maven-plugin插件放到了spring-boot-maven-plugin插件后面,应该是因为spring-boot-maven-plugin放在前面会先执行spring-boot-ma
前面主要描述碰到的问题,文章后面会给出我的proguard-maven-plugin插件的完整配置
proguard-maven-plugin 插件版本 2.3.1,proguard-base版本7.0.0
- 1.混淆后自己全部代码没有被放入混淆后的jar包里(jar\BOOT-INF\classes 里面不包含com)
原因: proguard-maven-plugin插件放到了spring-boot-maven-plugin插件后面,应该是因为spring-boot-maven-plugin放在前面会先执行spring-boot-maven-plugin的repackage再执行proguard-maven-plugin的混淆,混淆后没有重新repackage
解决:把proguard-maven-plugin插件放到spring-boot-maven-plugin前面
2.DataSource,Aop,swagger等相关配置类混淆后导致的运行报错
原因:比如Aop是因为用@Around(value = "apiLog()")指定apiLog方法对应的@Pointcut作为切入点,但是因为apiLog方法被混淆成a导致找不到对应apiLog方法。就不一一列举了
解决:我是直接把所有配置类放到framework下面,然后proguard-maven-plugin配置让framework 下面的类和方法全部不混淆,这样省事点
-keep class com.zzz.framework.** { *; }
3.aop事务控制,事务失效问题
原因:因为aop pointcut 是根据包路径和方法名(update,find)拦截,service 混淆后 包路径和方法名都变成 a,b导致拦截不到
解决:不混淆包路径和方法public方法名,如下
#不混淆service下的public方法名 -keepclassmembers class com.zzz.api.*.service.** {public *** *(...);} #不混淆service包名 -keeppackagenames com.zzz.api.*.service.**
4.运行项目beanName冲突问题
原因:混淆后的类名都是a,b,c,默认注册到ioc中是以类名作为BeanName,BeanName不能重复。
解决:重新定义beanName的生成策略,如下
public class Application { public static void main(String[] args) { new SpringApplicationBuilder(Application.class) .beanNameGenerator(new ProGuardBeanNameGenerator()) .run(args); } } /** * 由于需要混淆代码,混淆后类都是A B C,spring 默认是把A B C当成BeanName,BeanName又不能重复导致报错 * 所以需要重新定义BeanName生成策略 * 不能重写generateBeanName方法,因为有些Bean会自定义BeanName,所以这些情况还需要走原来的逻辑 * */ public class ProGuardBeanNameGenerator extends AnnotationBeanNameGenerator { /** * 重写buildDefaultBeanName * 其他情况(如自定义BeanName)还是按原来的生成策略,只修改默认(非其他情况)生成的BeanName带上 包名 * * @param definition * @return */ @Override public String buildDefaultBeanName(BeanDefinition definition) { return definition.getBeanClassName(); } }
5.swagger 文档看不到api,以及接口请求参数controller 参数绑定报错
原因:
1)swagger 文档看不到api:因为我swagger配置的api 是通过.apis(RequestHandlerSelectors.basePackage(packageName))指定了具体包名,controller混淆后包名变成a,b,c所以扫描不到接口自然就生成不了文档
2)api接口请求出错:spring接口参数绑定是根据参数名称,混淆后参数名称会变成var1等,绑定的时候找不到原来定义的参数名就报错了.
解决:proguard-maven-plugin配置所有controller public 方法不参与混淆以及参数也不参与混淆,如下
#所有controller类的public方法你参与混淆 <option>-keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);}</option> #不混淆controller的包路径 <option>-keeppackagenames com.zzz.api.*.controller</option> #参数不参与混淆 <option>-keepparameternames</option>
6.spring controller 参数绑定问题
原因:spring参数绑定有些是根据controller的方法参数名称绑定的,参数名称混淆后就会绑定不上
解决:
方法1:Controller用如@RequestParam的方式绑定
方法2:
①.配置-keepparameternames,这个参数可以让不被混淆的方法也不会混淆其参数,对interface无效.
<option>-keepparameternames</option>②. 因为第①步的配置,那只要配置controller里的方法不混淆,那么方法参数也就不会混淆了,如下
-keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);}
7.mybatis 参数绑定报错org.apache.ibatis.binding.BindingException
原因:和第6点类似,因为方法参数被混淆,所以导致mybatis的mapper(是interface)定义的接口参数Id被混淆成 var1,mybatis xml #{id}绑定的时候只能找到var1于是BindingException.但是不能用第6点的方法2,因为keepparameternames 能让keep的class参数不混淆,却不能让interface的参数不参与混淆,而mybatis的mapper就是interface
解决:
方法1:mapper的参数 用 @Param("id") 强行绑定
方法2:此方法也可以解决第6点的问题①. 配置 -keepattributes MethodParameters ,这个参数可以让不管有没有参与混淆的类的方法参数都不参与混淆,对类和接口都生效,但是这样会导致即使参与混淆的类也无法混淆参数
-keepattributes MethodParameters②. 上面的配置是可以让所有方法参数不被proguard混淆,但是有些项目在java编译的时候却可能会对方法参数混淆(好像是针对interface方法参数的混淆,不针对class).所以可以配置编译时不混淆方法参数(-parameters),如下所示(这个根据自己项目实际情况配置,好像是和idea版本有关系)
<plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.8.1</version> <configuration> <compilerArgument>-parameters</compilerArgument> </configuration> </plugin>
8. CreateProcess error=206, 文件名或扩展名太长。
原因:因为window的cmd有长度限制,而proguard混淆时依赖太多的jar包导致命令行过长
解决:在proguard-maven-plugin的configuration中加入下面配置,这个配置会把jar包放到临时目录以便缩短命令行
<putLibraryJarsInTempDir>true</putLibraryJarsInTempDir>
9.其他模块依赖混淆(推荐B方案)
① A方案(此处其他模块不混淆非私有的方法名和类名和变量名,只混淆方法里的代码及私有方法)
这里是其他模块的混淆配置
如果有zzz-web和zzz-common两个模块,zzz-web是springboot项目,zzz-common包含一些公用的代码,也包含有@Component相关类,zzz-web依赖zzz-common,
这种情况我对zzz-common的混淆是不混淆public的方法名和类名,只混淆方法里面的代码,否则假设zzz-common 有 StringUtils.isNotBlank方法,混淆后变成a.b,那么在zzz-web里面调用 StringUtils.isNotBlank要用a.b
配置方法:zzz-common pom.xml配置proguard-maven-plugin,且option包含如下配置
#混淆方法里面的代码,不混淆非私有的方法名和类名和变量名,否则被其他模块依赖时调用的类和方法名都需要用a,b,c -keep class ** { !private *** *; !private *** *(...); }问题:由于proguard混淆zzz-common后生成的jar包有问题,导致zzz-common 里面注解@Component的类无法被springboot扫描注册到BeanFactory,所以如果用@Autowired注入这些类会导致启动的时候not found这些bean。
解决:
方法一:配置让zzz-web打包时依赖zzz-common不是以jar的方式,而是把zzz-common的代码放到zzz-web的jar包里面,配置如下:
1).在zzz-web的pom.xml里面给proguard-maven-plugin的configuration增加assembly配置
<plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <configuration> <!-- 把依赖的项目其他模块(com.zzz)的class放入当前生成jar包 (由于对其他模块进行混淆生成的jar包格式不对,导致用jar的形式放入 当前项目jar的lib里运行会扫描不到其他模块的相关bean,所以配置把其他模块相关的jar的class放入当前jar包里可以避免这样的问题,另一种解决方案是其他依赖包在用proguard混淆成jar包后对该jar包重新打包) --> <assembly> <inclusions> <inclusion> <library>true</library> <!-- groupId是zzz-common模块的groupId --> <groupId>com.zzz</groupId> <artifactId>*</artifactId> </inclusion> </inclusions> </assembly> </configuration> </plugin>2).在zzz-web的pom.xml里给spring-boot-maven-plugin增加excludeGroupIds排除 zzz-common的groupId让zzz-common的jar包不会放入zzz-web的lib里
<plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <configuration> <!-- 如果没有该配置,devtools不会生效 --> <fork>true</fork> <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了--> <excludeGroupIds> com.zzz </excludeGroupIds> <!-- end:混淆配置 --> </configuration> </plugin>方法二:修改proguard-maven-plugin插件的源码,让proguard-maven在用proguard混淆zzz-common之后生成 zzz-common.jar后对zzz-common.jar重新打包.这样生成的jar包就可以让springboot使用.
修改方法:把proguard-maven-plugin:2.3.1 ProGuardMojo.java 第700行 “if ((assembly != null) && (hasInclusionLibrary)) { ”给注释掉即可。结尾的 “}”也要注释
我修改源码后的资源下载链接
这个if里面的代码可以对proguard生成的jar重新打包,但是需要配置方法1中的assembly配置才会触发,注释掉让他默认都会对proguard生成的jar重新打包就可以解决proguard的jar不能用的问题
方法三:自己写个maven插件重新打包或者网上找个能用的插件(至少我没找到)
② B方案
在混淆前 先用maven-assembly-plugin插件把 zzz-common和zzz-web 合并打包成一个jar包,之后再用proguard-maven-plugin对这个jar包进行混淆,然后用spring-boot-maven-plugin对混淆后的jar repackage;因为是先把zzz-common和zzz-web合并成一个jar后再进行混淆,所以就不存在上面说的不能混淆方法等问题。
注意:pom.xml的插件顺序要按maven-assembly-plugin->proguard-maven-plugin->spring-boot-maven-plugin,否则上面的执行顺序不一样可能导致最后生成的jar有问题。
配置如下:
1)在zzz-web的pom.xml增加maven-assembly-plugin插件
<plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-assembly-plugin</artifactId> <version>3.3.0</version> <configuration> <!-- 打包生成的包不拼接xml里的id 为后缀 --> <appendAssemblyId>false</appendAssemblyId> <!--打包文件路径--> <descriptors> <descriptor>${project.basedir}/assembly.xml</descriptor> </descriptors> </configuration> <executions> <execution> <id>assembly-package</id> <phase>package</phase> <goals> <goal>single</goal> </goals> </execution> </executions> </plugin>assembly.xml
<?xml version="1.0" encoding="UTF-8"?> <assembly xmlns="http://maven.apache.org/ASSEMBLY/2.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/ASSEMBLY/2.0.0 http://maven.apache.org/xsd/assembly-2.0.0.xsd"> <!--项目标识,设置的话,生成后的zip文件会加上此后缀--> <id>${project.version}</id> <!--打包格式--> <formats> <format>jar</format> </formats> <!--压缩包下是否生成和项目名相同的根目录--> <includeBaseDirectory>false</includeBaseDirectory> <fileSets> <fileSet> <directory>${project.build.directory}/classes</directory> <outputDirectory>/</outputDirectory> </fileSet> </fileSets> <dependencySets> <!-- 把依赖的项目其他模块代码放到jar包里,方便对其他模块代码 --> <dependencySet> <outputDirectory>/</outputDirectory> <includes> <include>com.zzz:*</include> </includes> <unpack>true</unpack> </dependencySet> </dependencySets> </assembly>2).在zzz-web的pom.xml里给spring-boot-maven-plugin增加excludeGroupIds排除 zzz-common的groupId让zzz-common的jar包不会放入zzz-web的lib里
<plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <configuration> <!-- 如果没有该配置,devtools不会生效 --> <fork>true</fork> <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了--> <excludeGroupIds> com.zzz </excludeGroupIds> <!-- end:混淆配置 --> </configuration> </plugin>
完整配置
我的proguard-maven-plugin插件的相关配置
1.pom.xml
<plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-assembly-plugin</artifactId> <version>3.3.0</version> <configuration> <!-- 打包生成的包不拼接xml里的id 为后缀 --> <appendAssemblyId>false</appendAssemblyId> <!--打包文件路径--> <descriptors> <descriptor>${project.basedir}/assembly.xml</descriptor> </descriptors> </configuration> <executions> <execution> <id>assembly-package</id> <phase>package</phase> <goals> <goal>single</goal> </goals> </execution> </executions> </plugin> <!-- 代码混淆 --> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.3.1</version> <executions> <execution> <!-- 打包的时候开始混淆--> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <injar>${project.build.finalName}.jar</injar> <!--输出的jar--> <outjar>${project.build.finalName}.jar</outjar> <!-- 是否混淆--> <obfuscate>true</obfuscate> <proguardInclude>${basedir}/proguard.cfg</proguardInclude> <injarNotExistsSkip>true</injarNotExistsSkip> <!-- 把依赖的项目其他模块的class放入当前打的jar包(proguard由于对其他模块进行混淆生成的jar包格式不对,导致用jar的形式放入 lib 运行会扫描不到相关bean,所以配置把相关jar的class放入当前jar包可以避免这样的问题,另一种解决方案是其他依赖包在用proguard混淆成jar包后对该jar包重新打包) --> <assembly> <inclusions> <inclusion> <library>true</library> <!-- 对应模块的groupId --> <groupId>com.zzz</groupId> <artifactId>*</artifactId> </inclusion> </inclusions> </assembly> <options> <!--指定java版本号--> <option>-target 1.8</option> <!--不做收缩(删除注释、未被引用代码)--> <option>-dontshrink</option> <!--默认是开启的,这里关闭字节码级别的优化--> <option>-dontoptimize</option> <!--混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代--> <option>-adaptclassstrings</option> <!--混淆时不生成大小写混合的类名,默认是可以大小写混合--> <option>-dontusemixedcaseclassnames</option> <!-- 指定将相同的混淆名称分配给具有相同名称的类成员,并将不同混淆名称分配给名称不同的类成员,(我猜)假设两个类有相同的类成员(如方法名),则混淆后名称一样--> <!-- <option>-useuniqueclassmembernames</option>--> <!-- 忽略warn消息--> <option>-ignorewarnings</option> <!--对异常、注解信息在runtime予以保留,不然影响springboot启动--> <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod </option> <!--不混淆所有interface接口--> <!-- <option>-keepnames interface **</option>--> <!-- <option>-keep interface * extends * { *; }</option>--> <!--保留枚举成员及方法--> <option>-keepclassmembers enum * { *; }</option> <!-- 不参与混淆的类参数也不混淆,controller如果参数也混淆会导致传参映射不上 --> <option>-keepparameternames</option> <!--不混淆带有main 方法的类 网上的配置我没用--> <!-- <option>-keepclasseswithmembers public class * {--> <!-- public static void main(java.lang.String[]);}--> <!-- </option>--> <!--百度的配置,注释掉没出问题,忽略note消息,如果提示javax.annotation有问题,那麽就加入以下代码--> <!-- <option>-dontnote javax.annotation.**</option>--> <!-- <option>-dontnote sun.applet.**</option>--> <!-- <option>-dontnote sun.tools.jar.**</option>--> <!-- <option>-dontnote org.apache.commons.logging.**</option>--> <!-- <option>-dontnote javax.inject.**</option>--> <!-- <option>-dontnote org.aopalliance.intercept.**</option>--> <!-- <option>-dontnote org.aopalliance.aop.**</option>--> <!-- <option>-dontnote org.apache.logging.log4j.**</option>--> <!-- <option>-keep class org.apache.logging.log4j.util.* { *; }</option>--> <!-- <option>-dontwarn org.apache.logging.log4j.util.**</option>--> <!--不混淆所有类,保存原始定义的注释,网上找到的配置,我注释掉没出现任何问题--> <!-- <option>-keepclassmembers class * {--> <!-- @org.springframework.beans.factory.annotation.Autowired *;--> <!-- @org.springframework.beans.factory.annotation.Value *;--> <!-- @org.springframework.web.bind.annotation.PostMapping *;--> <!-- @org.springframework.web.bind.annotation.DeleteMapping *;--> <!-- @org.springframework.stereotype.Repository *;--> <!-- @com.shark.example.configuration.log *;--> <!-- }--> <!-- </option>--> </options> <libs> <!-- 添加依赖 java8--> <lib>${java.home}/lib/rt.jar</lib> <lib>${java.home}/lib/jce.jar</lib> </libs> </configuration> <dependencies> <!-- https://mvnrepository.com/artifact/net.sf.proguard/proguard-base --> <dependency> <groupId>com.guardsquare</groupId> <artifactId>proguard-base</artifactId> <version>7.0.0</version> </dependency> </dependencies> </plugin> <!-- spring-boot-maven-plugin一定要放在proguard-maven-plugin后面,否则会导致最后jar包不包含项目代码 --> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <configuration> <!-- 如果没有该配置,devtools不会生效 --> <fork>true</fork> <!--start:混淆配置 由于配置混淆插件,会把其他模块的依赖包混淆后直接放入 springboot最后生成的jar包,所以就不需要把其他模块的jar包放到lib里了--> <excludeGroupIds> com.zzz </excludeGroupIds> <!-- end:混淆配置 --> </configuration> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.8.1</version> <configuration> <!-- 配置编译时不混淆方法名,需要时在配置 --> <!-- <compilerArgument>-parameters</compilerArgument> --> </configuration> </plugin>2.proguard.cfg(和pom.xml同目录)
#所有类(包括接口)的方法参数不混淆(包括没被keep的) 如果参数混淆了 mybatis mapper 参数绑定会出错(如#{id}) -keepattributes MethodParameters #入口程序类不能混淆,混淆会导致springboot启动不了 -keep class com.zzz.Application {*;} #由于spring会根据参数名称绑定参数,如果参数名称被混淆了,参数绑定是会报错,所以不混淆controller的所有的public方法(也可以不混淆类名) #因为配置了'keepparameternames'所以不混淆方法时参数也不会混淆 -keepclassmembers class com.zzz.api.*.controller.* {public *** *(...);} #但是因为swagger配置了根据包路径进行扫描,所以如果混淆了会导致swagger扫描不到混淆后的包,所以不混淆controller的包路径 -keeppackagenames com.zzz.api.*.controller #实体类不混淆不然会导致mybatis xml 配置的实体类找不到 #如果是spring jpa 用到@Query 也会导致找不到相关类 -keep class com.zzz.api.*.entity.** {*;} -keep class com.zzz.api.*.dto.** {*;} -keep class com.zzz.api.*.vo.** {*;} #mybatis mapper不混淆 否则会导致xml 配置的mapper找不到 -keep class com.zzz.api.*.mapper.** { *; } #不混淆spring jpa的 repository,否则就无法根据方法名查询了 -keep class com.dataexa.fzty.deduction.repository.** { *; } #保留service的所有公共方法名,由于使用AOP控制事务,根据拦截get,update等方法进行事务控制,所以需要不混淆service下的public方法名 -keepclassmembers class com.zzz.api.*.service.** {public *** *(...);} #不混淆service包名,由于使用AOP(POINTCUT=serivce包名包名)控制事务,所以需要保留service的包名防止找不到service -keeppackagenames com.zzz.api.*.service.** #frannework下都是一些配置类比如datasource,aopconfig,swaggerconfig如果混淆会导致各种启动报错, #比如用@Around(value = "apiLog()")指定apiLog方法对应的@Pointcut作为切入点,但是因为apiLog方法被混淆成a导致找不到对应@Pointcut #所以全部不混淆 省心点 -keep class com.zzz.framework.** { *; } #注解了Aspect的都不混淆,由于把framework下的所有类都不混淆,所以此配置就可有可无了 #-keep @org.aspectj.lang.annotation.Aspect class * { # *; #} #保留Serializable序列化的类不被混淆 -keepclassmembers class * implements java.io.Serializable { static final long serialVersionUID; private static final java.io.ObjectStreamField[] serialPersistentFields; private void writeObject(java.io.ObjectOutputStream); private void readObject(java.io.ObjectInputStream); java.lang.Object writeReplace(); java.lang.Object readResolve(); }3.assembly.xml
<?xml version="1.0" encoding="UTF-8"?> <assembly xmlns="http://maven.apache.org/ASSEMBLY/2.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/ASSEMBLY/2.0.0 http://maven.apache.org/xsd/assembly-2.0.0.xsd"> <!--项目标识,设置的话,生成后的zip文件会加上此后缀--> <id>${project.version}</id> <!--打包格式--> <formats> <format>jar</format> </formats> <!--压缩包下是否生成和项目名相同的根目录--> <includeBaseDirectory>false</includeBaseDirectory> <fileSets> <fileSet> <directory>${project.build.directory}/classes</directory> <outputDirectory>/</outputDirectory> </fileSet> </fileSets> <dependencySets> <!-- 把依赖的项目其他模块代码放到jar包里,方便对其他模块代码 --> <dependencySet> <outputDirectory>/</outputDirectory> <includes> <include>com.zzz:*</include> </includes> <unpack>true</unpack> </dependencySet> </dependencySets> </assembly>
为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。
更多推荐
28
0- 0
已为社区贡献1条内容
所有评论(0)