使用ClassFinal实现springboot项目jar包加密

😄 19年之后由于某些原因断更了三年，23年重新扬帆起航，推出更多优质博文，希望大家多多支持～
🌷 古之立大事者，不惟有超世之才，亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程，入门到实战
🌺《RabbitMQ》本专栏主要介绍使用JAVA开发RabbitMQ的系列教程，从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解，让大家对设计模式有一个更清晰的理解
如果文章能够给大家带来一定的帮助！欢迎关注、评论互动～

使用ClassFinal实现springboot项目jar包加密

前言

在实际开发中，保护项目的安全性和保密性是至关重要的。针对于

Spring Boot

项目，如果不经过加密，其他人可以直接通过

GUI

反编译轻而易举拿到源码，所以我们需要将 JAR 包进行加密从而有效地防止未经授权的访问和修改。
本文将介绍如何使用

ClassFinal

在

Spring Boot

项目中实现 JAR 包加密。

什么是ClassFinal

ClassFinal

是一个Java字节码混淆和加密工具，可以将Java类文件转换为不可读的形式，从而保护代码免受逆向工程的攻击。它提供了强大的加密算法，可以有效地保护您的应用程序免受非法访问。

项目地址：https://gitee.com/roseboy/classfinal

注意：虽然目前该项目在Gitee上拥有1.6K的Star，但已经暂停维护！

博主测试使用了Springboot3 + jdk17是完全支持的，所以就目前来说对我们的项目并不会有什么影响，可以放心使用

项目模块说明

• classfinal-core: ClassFinal的核心模块，几乎所有加密的代码都在这里；
• classfinal-fatjar: ClassFinal打包成独立运行的jar包；
• classfinal-maven-plugin: ClassFinal加密的maven插件；

功能特性

• 无需修改原项目代码，只要把编译好的jar/war包用本工具加密即可
• 运行加密项目时，无需求修改 tomcat，spring 等源代码
• 支持普通 jar 包、springboot jar 包以及普通 java web 项目编译的 war 包
• 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架
• 支持maven插件，添加插件后在打包过程中自动加密
• 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包
• 支持绑定机器，项目加密后只能在特定机器运行
• 支持加密springboot的配置文件

参数执行方式使用

首先下载jar包： 下载地址

对我们需要运行的项目jar包进行加密，下面是官方的使用样例：

java-jar classfinal-fatjar.jar \-file yourproject.jar \-libjars a.jar,b.jar \-packages com.yourpackage,com.yourpackage2 \-exclude com.yourpackage.Main \-pwd123456\-Y

参数说明

• -file ：加密的jar/war完整路径
• -packages ：加密的包名(可为空,多个用","分割)
• -libjars ：jar/war包lib下要加密jar文件名(可为空,多个用","分割)
• -cfgfiles ：需要加密的配置文件，一般是classes目录下的yml或properties文件(可为空,多个用","分割)
• -exclude ：排除的类名(可为空,多个用","分割)
• -classpath ：外部依赖的jar目录，例如/tomcat/lib(可为空,多个用","分割)
• -pwd ：加密密码，如果是#号，则使用无密码模式加密
• -code ：机器码，在绑定的机器生成，加密后只可在此机器上运行
• -Y ：无需确认，不加此参数会提示确认以上信息

结果: 生成 yourproject-encrypted.jar，这个就是加密后的jar文件；加密后的文件不可直接执行，需要配置javaagent

注: 以上示例是直接用参数执行，也可以直接执行 java -jar classfinal-fatjar.jar按照步骤提示输入信息完成加密。

maven插件方式使用

在要加密的项目pom.xml中加入以下插件配置,目前最新版本是：1.2.1

<plugin><!-- https://gitee.com/roseboy/classfinal --><groupId>net.roseboy</groupId><artifactId>classfinal-maven-plugin</artifactId><version>1.2.1</version><configuration><!--加密打包之后pom.xml会被删除，不用担心在jar包里找到此密码--><password>000000</password><packages>com.yourpackage,com.yourpackage2</packages><cfgfiles>application.yml</cfgfiles><excludes>org.spring</excludes><libjars>a.jar,b.jar</libjars></configuration><executions><execution><phase>package</phase><goals><goal>classFinal</goal></goals></execution></executions></plugin>

执行maven打包，在target目录下会发现多了一个 xxx-encrypted.jar的加密好的jar文件

验证加密的JAR包

下载反编译工具

JD-GUI

： 下载地址：http://java-decompiler.github.io

选择自己对应系统的版本下载即可；

小小的提示：博主之前遇到的问题

• 由于博主是MacOS系统，之前只有JDK8的时候运行正常，但当在电脑上同时安装了高版本的JDK，会出现JD-GUI打不开的问题

问题分析

• 由于是专为MacOS系统定制的org.jd.gui.OsxApp作为启动类，当我们同时安装高版本的JDK会导致OsxApp依赖的com.apple.eawt.Application缺失，导致启动失败，此时只需要把启动类换成默认的org.jd.gui.App即可正常启动

解决办法

• 找到 jd-gui.app 右键 显示包内容
• 进入Contents目录，打开Info.plist文件
• 搜索找到org.jd.gui.OsxApp 替换为 org.jd.gui.App

下载完成运行

JD-GUI

工具，将我们项目生成的 xxx-encrypted.jar 拖入工具中查看，这里以博主测试生成的

toher-admin-encrypted.jar

为例，如下图：

可以看到相关方法体内容均已经清空了

运行加密的jar包

加密后的项目需要设置

javaagent

来启动，项目在启动过程中解密class，完全内存解密，不留下任何解密后的文件。

解密功能已经自动加入到 xxx-encrypted.jar中，所以启动时-javaagent与-jar相同，不需要额外的jar包。

启动jar项目执行以下命令：

java -javaagent:yourpaoject-encrypted.jar='-pwd 0000000'\-jar yourpaoject-encrypted.jar

//参数说明
// -pwd      加密项目的密码  
// -pwdname  环境变量中密码的名字

总结

使用ClassFinal工具可以轻松地保护Spring Boot项目的JAR包免受未经授权的访问和修改。通过将ClassFinal集成到项目的构建过程中，我们可以在打包项目时自动对类文件进行加密，提高了应用程序的安全性