Maven 環境下使用 proguard-maven-plugin 插件混淆你的源碼
一、場景介紹
兩個工程 Project1,Project2(將被混淆的工程)。Project1 將通過 Maven 依賴配置的方式引用混淆后的 Project2。后面我會詳細介紹 pom.xml 的配置。
二、Maven 配置
1、Project1 的 pom.xml
該 pom.xml 比較簡單主要通過 classifier 來判斷是否使用混淆的 Jar(Project2)
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>org.noahx.proguard.example</groupId> <artifactId>project1</artifactId> <version>1.0-SNAPSHOT</version> <dependencies> <dependency> <groupId>org.noahx.proguard.example</groupId> <artifactId>project2</artifactId> <classifier>pg</classifier> <!--如果不想依賴混淆的包,請注釋掉該行--> <version>1.0-SNAPSHOT</version> </dependency> </dependencies> </project>
2、Project2 的 pom.xml
pom.xml 中配置的 proguard-maven-plugin 來做混淆,詳細說明見注釋。
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>org.noahx.proguard.example</groupId> <artifactId>project2</artifactId> <version>1.0-SNAPSHOT</version> <build> <plugins> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.0.7</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <attach>true</attach> <attachArtifactClassifier>pg</attachArtifactClassifier> <!-- attach 的作用是在 install 與 deploy 時將生成的 pg 文件也安裝與部署 --> <options> <!-- 詳細配置方式參考 ProGuard 官方文檔 --> <!--<option>-dontobfuscate</option>--> <option>-ignorewarnings</option> <!--忽略所有告警--> <option>-dontshrink</option> <!--不做 shrink --> <option>-dontoptimize</option> <!--不做 optimize --> <option>-dontskipnonpubliclibraryclasses</option> <option>-dontskipnonpubliclibraryclassmembers</option> <option>-repackageclasses org.noahx.proguard.example.project2.pg</option> <!--平行包結構(重構包層次),所有混淆的類放在 pg 包下--> <!-- 以下為 Keep,哪些內容保持不變,因為有一些內容混淆后(a,b,c)導致反射或按類名字符串相關的操作失效 --> <option>-keep class **.package-info</option> <!--保持包注解類--> <option>-keepattributes Signature</option> <!--JAXB NEED,具體原因不明,不加會導致 JAXB 出異常,如果不使用 JAXB 根據需要修改--> <!-- Jaxb requires generics to be available to perform xml parsing and without this option ProGuard was not retaining that information after obfuscation. That was causing the exception above. --> <option>-keepattributes SourceFile,LineNumberTable,*Annotation*</option> <!--保持源碼名與行號(異常時有明確的棧信息),注解(默認會過濾掉所有注解,會影響框架的注解)--> <option>-keepclassmembers enum org.noahx.proguard.example.project2.** { *;}</option> <!--保持枚舉中的名子,確保枚舉 valueOf 可以使用--> <option>-keep class org.noahx.proguard.example.project2.bean.** { *;}</option> <!--保持 Bean 類,(由於很多框架會對 Bean 中的內容做反射處理,請根據自己的業務調整) --> <option>-keep class org.noahx.proguard.example.project2.Project2 { public void init(); public void destroy(); } </option> <!-- 保持對外的接口性質類對外的類名與方法名不變 --> </options> <outjar>${project.build.finalName}-pg</outjar> <libs> <lib>${java.home}/lib/rt.jar</lib> </libs> </configuration> </plugin> </plugins> </build> </project>
三、Java 混淆前后內容比較
這里只比較 Project2 類的不同。其它類的比較,請大家使用 jd-gui 等反編譯工具進行比較。
1、混淆前的 Project2 類
package org.noahx.proguard.example.project2;
import org.noahx.proguard.example.project2.dao.TestDao; import org.noahx.proguard.example.project2.impl.User; /** * Created by noah on 8/20/14. */ public class Project2 { public void init() { test1(); test2(); } private void test1() { Status on = Status.valueOf("On"); switch (on) { case On: { } break; case Off: { } break; } } private void test2() { TestDao testDao=new TestDao(); User user=new User(); user.setUserid("abc"); user.setPassword("pwd"); user.setDescription("des"); testDao.save(user); } private void test3() { } private void test4() { } private void throwException() { throw new RuntimeException("hello"); } public void destroy() { test3(); test4(); throwException(); } }
2、混淆后的 Project2 類
所有沒有指定 keep 的內容都變為了 a,b,c...,增大了閱讀難度。
package org.noahx.proguard.example.project2;
import org.noahx.proguard.example.project2.pg.a; public class Project2 { public void init() { b(); c(); } private void b() { b localb = b.valueOf("On"); switch (a.a[localb.ordinal()]) { case 1: break; case 2: } } private void c() { a locala = new a(); org.noahx.proguard.example.project2.pg.b localb = new org.noahx.proguard.example.project2.pg.b(); localb.a("abc"); localb.b("pwd"); localb.c("des"); locala.a(localb); } private void d() { } private void e() { } public void a() { throw new RuntimeException("hello"); } public void destroy() { d(); e(); a(); } }
四、類路徑中資源加載問題
使用 ProGuard 產生的 Jar 包,會發生無法定位 Jar 中資源的問題。原因不詳,我沒有太深入研究。
使用 [類名].class.getResource (),Thread.currentThread().getContextClassLoader().getResource(),不論是否以“/”開頭都返回 null。沒有混淆的 Jar 是沒有這個問題的。
我使用了一種直接讀取 Jar 中內容的方式來解決。
final File jarFile = new File([類名].class.getProtectionDomain().getCodeSource().getLocation().getPath()); //定位類所在的 Jar 文件 if(jarFile.isFile()) { final JarFile jar = new JarFile(jarFile); Enumeration<JarEntry> entries = jar.entries(); while (entries.hasMoreElements()) { JarEntry entry = entries.nextElement(); if (entry.getName().startsWith("org/noahx")) { InputStream entryInputStream = jarFile.getInputStream(entry); //遍歷包中的內容來獲得資源 } } jar.close(); }
五、總結
使用 proguard-maven-plugin 插件,既保持了 Maven 的依賴模式,又滿足了我的混淆需求。其它詳細的參數配置,大家可以參考官方文檔。
ProGuard 滿足了我的需求。至於是好是壞,希望大家不要圍繞這點做沒有必要的爭論,謝謝。