Springboot集成Proguard生成混淆jar包

最新推荐文章于 2025-07-28 17:03:19 发布

原创

最新推荐文章于 2025-07-28 17:03:19 发布 · 1.8k 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#spring boot #jar #后端

背景

当我们需要将 JAR 包交付给第三方时，常常担心代码可能会被反编译。因此，对 JAR 包进行混淆处理显得尤为重要。

市面上有许多 JAR 包源码混淆工具，但真正能稳定投入使用的并不多。例如，ClassFinal (ClassFinal: Java字节码加密工具)`是国内开发者开发的一款 JAR 包加密工具，它采用的是字节码加密的方案。然而，ClassFinal (ClassFinal: Java字节码加密工具)已经停止维护多年，并且它的使用需要额外提供一个加密包来解密，这种方式虽然注重安全性，但增加了使用的复杂性。由于 JVM 的跨平台特性，理想的工具应该是简洁、易于使用的，而不是增加额外的“挂件”来进行保护。

另一款常用的工具是 ProGuard(GitHub - Guardsquare/proguard: ProGuard, Java optimizer and obfuscator)，它是一款开源的 Java 代码混淆工具。准确来说是一个插件，不需要对他进行编码，只需要进行配置即可。代码混淆，并不是把所有代码进行混淆，这样反而会出错，比如枚举类型如果也进行混淆，那么在使用反射创建实例，并给实例赋值的时候，枚举类型会反序列化失败。ProGuard 的主要功能是在不影响程序功能的前提下，混淆 JAR 包内的源码，通过增加代码的混乱程度，使得反编译后的代码可读性大大降低，从而有效地提高了代码的安全性。对于第三方来说，反编译后的代码难以理解，与其花费大量时间研究，可能更倾向于重新开发实现。因此，从这个角度来看，ProGuard 确实可以满足一定的代码安全性需求。proguard提供了可以对哪些包，类，方法等不进行混淆的配置，我们可以将枚举配置在这里。

然而，需要注意的是，ProGuard 是一款通用的 Java 代码混淆工具，并非针对 Spring 框架的专用工具。因此，它对 Spring 相关的注解并没有特殊的处理。这意味着在使用 ProGuard 混淆 Spring Boot 应用时，开发者可能需要进行额外的配置和定制，这对不熟悉该工具的开发者来说增加了使用难度和成本。

实现流程

springboot提供了打包插件spring-boot-maven-plugin，所以我们的混淆需要在springboot打包的插件之前，就是我们要对混淆之后的代码通过spring-boot-maven-plugin进行打包。
Proguard核心内容是两个配置文件，一个pom.xml、一个proguard.cfg，这里提供最关键的两个能够直接使用的配置文件内容，其余的配置相关描述可以通过文末的参考文献获取。

proguard.cfg配置示例

# 指定不警告尚未解决的引用和其他问题
-dontwarn
#指定Java的版本
-target 1.8
#proguard会对代码进行优化压缩，他会删除从未使用的类或者类成员变量等（删除注释、未被引用代码）
-dontshrink
#是否关闭字节码级别的优化，如果不开启则设置如下配置  不做优化（变更代码实现逻辑）
-dontoptimize
#混淆时不生成大小写混合的类名，默认是可以大小写混合
-dontusemixedcaseclassnames
# 不去忽略非公共的库类
-dontskipnonpubliclibraryclasses
# 指定不跳过包可见的库类成员（字段和方法）。
# 默认情况下，proguard在解析库类时会跳过包可见的库类成员。当我们确实引用了包可见的类成员时，需要设置此项
-dontskipnonpubliclibraryclassmembers
# 对于类成员的命名的混淆采取唯一策略
-useuniqueclassmembernames
# 优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodificatio
# 不混淆所有包名
#-keeppackagename
#混淆类名之后，对使用Class.forName('className')之类的地方进行相应替代
-adaptclassstrings
#保持目录结构
-keepdirectories
#对异常、注解信息予以保留
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod,Qualifier
# 此选项将保存接口中的所有原始名称（不混淆）-->
#-keepnames interface ** { *; }

#混淆时是否记录日志
#-verbose

# 此选项将保存所有软件包中的所有原始接口文件（不进行混淆）
#-keep interface * extends * { *; }

#保留参数名，因为控制器，或者Mybatis等接口的参数如果混淆会导致无法接受参数，xml文件找不到参数
-keepparameternames
# 保留枚举成员及方法
#-keepclassmembers enum * { *; }
# 不混淆所有类,保存原始定义的注释-
-keepclassmembers class * {
   
   
                        @org.springframework.context.annotation.Bean *;
                        @org.springframework.context.annotation.Bean *;
                        @org.springframework.beans.factory.annotation.Autowired *;
                        @org.springframework.beans.factory.annotation.Value *;
                        @org.springframework.stereotype.Service *;
                        @org.springframework.stereotype.Component *;
                        @org.springframework.transaction.annotation.ProxyTransactionManagementConfiguration *;
                        @org.springframework.boot.context.properties.ConfigurationProperties *;
                        @org.springframework.web.bind.annotation.RestController *;
                        @org.springframework.beans.factory.annotation.Qualifier *;
                        @io.swagger.annotations.ApiParam *;
                        @org.springframework.validation.annotation.Validated *;
                        @io.swagger.annotations.ApiModelProperty *;
                        @javax.validation.constraints.NotNull *;
                        @javax.validation.constraints.Size *;
                        @javax.validation.constraints.NotBlank *;
                        @javax.validation.constraints.Pattern *;

                        }
-keep class org.springframework.** {
   
   *;}
-keep public class ch.qos.logback.**{
   
   *;}
-keep class com.fasterxml.jackson.** {
   
    *;<