XJar對class文件進行加密

XJar

GitHub: https://github.com/core-lib/xjar

Spring Boot JAR 安全加密運行工具, 同時支持的原生JAR.

基於對JAR包內資源的加密以及拓展ClassLoader來構建的一套程序加密啟動, 動態解密運行的方案, 避免源碼泄露以及反編譯.

功能特性

• 無代碼侵入, 只需要把編譯好的JAR包通過工具加密即可.
• 完全內存解密, 降低源碼以及字節碼泄露或反編譯的風險.
• 支持所有JDK內置加解密算法.
• 可選擇需要加解密的字節碼或其他資源文件.
• 支持Maven插件, 加密更加便捷.
• 動態生成Go啟動器, 保護密碼不泄露.

環境依賴

JDK 1.7 +

使用步驟

1. 添加依賴

<project> <!-- 設置 jitpack.io 倉庫 --> <repositories> <repository> <id>jitpack.io</id> <url>https://jitpack.io</url> </repository> </repositories> <!-- 添加 XJar 依賴 --> <dependencies> <dependency> <groupId>com.github.core-lib</groupId> <artifactId>xjar</artifactId> <version>4.0.0</version> <!-- <scope>test</scope> --> </dependency> </dependencies> </project>

• 必須添加 https://jitpack.io Maven倉庫.
• 如果使用 JUnit 測試類來運行加密可以將 XJar 依賴的 scope 設置為 test.

2. 加密源碼

XCryptos.encryption() .from("/path/to/read/plaintext.jar") .use("io.xjar") .include("/io/xjar/**/*.class") .include("/mapper/**/*Mapper.xml") .exclude("/static/**/*") .exclude("/conf/*") .to("/path/to/save/encrypted.jar"); 

方法名稱	參數列表	是否必選	方法說明
from	(String jar)	二選一	指定待加密JAR包路徑
from	(File jar)		指定待加密JAR包文件
use	(String password)	二選一	指定加密密碼
use	(String algorithm, int keysize, int ivsize, String password)		指定加密算法及加密密碼
include	(String ant)	可多次調用	指定要加密的資源相對於classpath的ANT路徑表達式
include	(Pattern regex)	可多次調用	指定要加密的資源相對於classpath的正則路徑表達式
exclude	(String ant)	可多次調用	指定不加密的資源相對於classpath的ANT路徑表達式
exclude	(Pattern regex)	可多次調用	指定不加密的資源相對於classpath的正則路徑表達式
to	(String xJar)	二選一	指定加密后JAR包輸出路徑, 並執行加密.
to	(File xJar)		指定加密后JAR包輸出文件, 並執行加密.

• 指定加密算法的時候密鑰長度以及向量長度必須在算法可支持范圍內, 具體加密算法的密鑰及向量長度請自行百度或谷歌.
• include 和 exclude 同時使用時即加密在include的范圍內且排除了exclude的資源.

3. 編譯腳本

go build xjar.go

• 通過步驟2加密成功后XJar會在輸出的JAR包同目錄下生成一個名為 xjar.go 的的Go啟動器源碼文件.
• 將 xjar.go 在不同的平台進行編譯即可得到不同平台的啟動器可執行文件, 其中Windows下文件名為 xjar.exe 而Linux下為 xjar.
• 用於編譯的機器需要安裝 Go 環境, 用於運行的機器則可不必安裝 Go 環境, 具體安裝教程請自行搜索.
• 由於啟動器自帶JAR包防篡改校驗, 故啟動器無法通用, 即便密碼相同也不行.

4. 啟動運行

xjar java -jar /path/to/encrypted.jar

xjar javaw -jar /path/to/encrypted.jar

nohup xjar java -jar /path/to/encrypted.jar 

• 在 Java 啟動命令前加上編譯好的Go啟動器可執行文件名(xjar)即可啟動運行加密后的JAR包.
• 若使用 nohup 方式啟動則 nohup 要放在Go啟動器可執行文件名(xjar)之前.
• 若Go啟動器可執行文件名(xjar)不在當前命令行所在目錄則要通過絕對路徑或相對路徑指定.
• 僅支持通過 -jar 方式啟動, 不支持-cp或-classpath的方式.

注意事項

1. 不兼容 spring-boot-maven-plugin 的 executable = true 以及 embeddedLaunchScript

<plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <!-- 需要將executable和embeddedLaunchScript參數刪除, 目前還不能支持對該模式Jar的加密！后面可能會支持該方式的打包. <configuration> <executable>true</executable> <embeddedLaunchScript>...</embeddedLaunchScript> </configuration> --> </plugin> 

2. Spring Boot + JPA(Hibernate) 啟動報錯問題

如果項目中使用了 JPA 且實現為Hibernate時, 由於Hibernate自己解析加密后的Jar文件, 所以無法正常啟動, 可以采用以下解決方案:

1. clone XJar-Agent-Hibernate , 使用 mvn clean package 編譯出 xjar-agent-hibernate-${version}.jar 文件
2. 采用 xjar java -javaagent:xjar-agent-hibernate-${version}.jar -jar your-spring-boot-app.jar 命令啟動

3. 靜態文件瀏覽器無法加載完成問題

由於靜態文件被加密后文件體積變大, Spring Boot 會采用文件的大小作為 Content-Length 頭返回給瀏覽器,
但實際上通過 XJar 加載解密后文件大小恢復了原本的大小, 所以瀏覽器認為還沒接收完導致一直等待服務端.
由此我們需要在加密時忽略靜態文件的加密, 實際上靜態文件也沒加密的必要, 因為即便加密了用戶在瀏覽器
查看源代碼也是能看到完整的源碼.通常情況下靜態文件都會放在 static/ 和 META-INF/resources/ 目錄下,
我們只需要在加密時通過 exclude 方法排除這些資源即可, 可以參考以下例子：

XCryptos.encryption() .from("/path/to/read/plaintext.jar") .use("io.xjar") .exclude("/static/**/*") .exclude("/META-INF/resources/**/*") .to("/path/to/save/encrypted.jar"); 

插件集成

Maven項目可通過集成 xjar-maven-plugin 以免去每次加密都要執行一次上述的代碼, 隨着Maven構建自動生成加密后的JAR和Go啟動器源碼文件.

xjar-maven-plugin GitHub: https://github.com/core-lib/xjar-maven-plugin

<project> <!-- 設置 jitpack.io 插件倉庫 --> <pluginRepositories> <pluginRepository> <id>jitpack.io</id> <url>https://jitpack.io</url> </pluginRepository> </pluginRepositories> <!-- 添加 XJar Maven 插件 --> <build> <plugins> <plugin> <groupId>com.github.core-lib</groupId> <artifactId>xjar-maven-plugin</artifactId> <version>4.0.0</version> <executions> <execution> <goals> <goal>build</goal> </goals> <phase>package</phase> <!-- 或使用 <phase>install</phase> --> <configuration> <password>io.xjar</password> <!-- optional <algorithm/> <keySize/> <ivSize/> <includes> <include/> </includes> <excludes> <exclude/> </excludes> <sourceDir/> <sourceJar/> <targetDir/> <targetJar/> --> </configuration> </execution> </executions> </plugin> </plugins> </build> </project> 

 

對於Spring Boot 項目或模塊, 該插件要后於 spring-boot-maven-plugin 插件執行, 有兩種方式：

• 將插件放置於 spring-boot-maven-plugin 的后面, 因為其插件的默認 phase 也是 package
• 將插件的 phase 設置為 install（默認值為：package）, 打包命令采用 mvn clean install

也可以通過Maven命令執行

mvn xjar:build -Dxjar.password=io.xjar
mvn xjar:build -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar

但通常情況下是讓XJar插件綁定到指定的phase中自動執行, 這樣就能在項目構建的時候自動構建出加密的包.

mvn clean package -Dxjar.password=io.xjar
mvn clean install -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar

強烈建議

強烈建議不要在 pom.xml 的 xjar-maven-plugin 配置中寫上密碼，這樣會導致打包出來的 xjar 包中的 pom.xml 文件保留着密碼，極其容易暴露密碼！強烈推薦通過 mvn 命令來指定加密密鑰！

參數說明

參數名稱	命令參數名稱	參數說明	參數類型	缺省值	示例值
password	-Dxjar.password	密碼字符串	String	必須	任意字符串, io.xjar
algorithm	-Dxjar.algorithm	加密算法名稱	String	AES/CBC/PKCS5Padding	JDK內置加密算法, 如：AES/CBC/PKCS5Padding 和 DES/CBC/PKCS5Padding
keySize	-Dxjar.keySize	密鑰長度	int	128	根據加密算法而定, 56, 128, 256
ivSize	-Dxjar.ivSize	密鑰向量長度	int	128	根據加密算法而定, 128
sourceDir	-Dxjar.sourceDir	源jar所在目錄	File	${project.build.directory}	文件目錄
sourceJar	-Dxjar.sourceJar	源jar名稱	String	${project.build.finalName}.jar	文件名稱
targetDir	-Dxjar.targetDir	目標jar存放目錄	File	${project.build.directory}	文件目錄
targetJar	-Dxjar.targetJar	目標jar名稱	String	${project.build.finalName}.xjar	文件名稱
includes	-Dxjar.includes	需要加密的資源路徑表達式	String[]	無	io/xjar/** , mapper/*Mapper.xml , 支持Ant表達式
excludes	-Dxjar.excludes	無需加密的資源路徑表達式	String[]	無	static/** , META-INF/resources/** , 支持Ant表達式

• 指定加密算法的時候密鑰長度以及向量長度必須在算法可支持范圍內, 具體加密算法的密鑰及向量長度請自行百度或谷歌.
• 當 includes 和 excludes 同時使用時即加密在includes的范圍內且排除了excludes的資源.

更多文檔：xjar-maven-plugin

版本記錄

• 4.0.0
  1. 加解密支持填充模式
  2. 加解密支持IV-Parameter
  3. 升級啟動器
  4. 移除危險模式
  5. 拼寫錯誤修正
  6. 提供智能加密/解密器 避免使用失誤
  7. 刪除多余的加密/解密方法
  8. 修復有安全校驗的nested-lib在不加密其內部資源情況下啟動時也無法通過校驗的問題
  9. 去除命令啟動和手輸密碼啟動的方式只保留Go啟動器的模式
  10. 增加可讀性更強的Fluent風格的加密/解密API
• 2.0.9
  1. 修復XJar類加載器加載的類沒有 ProtectionDomain 以及 CodeSource 的問題
  2. 去除版本號前置的"v"
• v2.0.7
  1. 修復不同字符集機器間加密與運行的問題
• v2.0.6
  1. 解決多jar包啟動時無法找到准確的MANIFEST.MF導致無法正常啟動的問題
• v2.0.5
  1. 升級LoadKit依賴版本
  2. 修復ANT表達式無法正確匹配**/*通配符的問題
• v2.0.4
  1. 解決危險模式不支持ubuntu系統的問題
• v2.0.3
  1. 過濾器泛型協變支持
  2. xjar-maven-plugin 支持 includes 與 excludes 同時起效, 當同時設置時即加密在includes范圍內但又不在excludes范圍內的資源
• v2.0.2
  1. 原生jar增加密鑰文件的啟動方式, 解決類似 nohup 和 javaw 的后台啟動方式無法通過控制台輸入密碼的問題
• v2.0.1
  1. 增加密鑰文件的啟動方式, 解決類似 nohup 和 javaw 的后台啟動方式無法通過控制台輸入密碼的問題
  2. 修復解密后沒有刪除危險模式中在MANIFEST.MF中保留的密鑰信息
• v2.0.0
  1. 支持內嵌JAR包資源的過濾加解密
  2. 不兼容v1.x.x的過濾器表達式, 統一采用相對於 classpath 資源URL的過濾表達式
• v1.1.4
  1. 支持 Spring-Boot 以ZIP方式打包, 即依賴外部化方式啟動.
  2. 修復無加密資源時無法啟動問題
• v1.1.3
  1. 實現危險模式加密啟動, 即不需要輸入密碼！
  2. 修復無法使用 System.console(); 時用 new Scanner(System.in) 替代.
• v1.1.2
  1. 避免用戶由於過濾器使用不當造成無法啟動的風險
• v1.1.1
  1. 修復bug
• v1.1.0
  1. 整理目錄結構
  2. 增加正則表達式/Ant表達式過濾器和“非”(!)邏輯運算過濾器
  3. 將XEntryFilters工具類整合在XKit類中
  4. 缺省過濾器情況下Spring-Boot JAR包加密的資源只限定在 BOOT-INF/classes/ 下
• v1.0.9
  1. 修復對Spring-Boot 版本依賴的bug
• v1.0.8
  1. 支持以Maven插件方式集成
• v1.0.7
  1. 將sprint-boot-loader依賴設為provide
  2. 將XEntryFilter#filter(E entry); 變更為XEntryFilter#filtrate(E entry);
  3. 將Encryptor/Decryptor的構造函數中接收多個過濾器參數變成接收一個, 外部提供XEntryFilters工具類來實現多過濾器混合成一個, 避免框架自身的邏輯限制了使用者的過濾邏輯實現.
• v1.0.6
  1. 采用LoadKit作為資源加載工具
• v1.0.5
  1. 支持並行類加載, 需要JDK1.7+的支持, 可提升多線程環境類加載的效率
  2. Spring-Boot JAR 包加解密增加一個安全過濾器, 避免無關資源被加密造成無法運行
  3. XBoot / XJar 工具類中增加多個按文件路徑加解密的方法, 提升使用便捷性
• v1.0.4 小優化
• v1.0.3 增加Spring-Boot的FatJar加解密時的缺省過濾器, 避免由於沒有提供過濾器時加密后的JAR包不能正常運行.
• v1.0.2 修復中文及空格路徑的問題
• v1.0.1 升級detector框架
• v1.0.0 第一個正式版發布

協議聲明

Apache-2.0