电子商务网站建设实训报告总结,网站设计宽度,8一9岁的手工,资金盘网站开发公司哪里好一、前言
在大约2015年左右#xff0c;由于公司产品序列逐渐增加#xff0c;涉及到N多项目部署交付#xff0c;为了有效防止产品被滥用#xff0c;私自部署#xff0c;当时技术中心决定开发一套统一的授权认证管理系统#xff0c;对公司所有产品序列进行 License 控制。…一、前言
在大约2015年左右由于公司产品序列逐渐增加涉及到N多项目部署交付为了有效防止产品被滥用私自部署当时技术中心决定开发一套统一的授权认证管理系统对公司所有产品序列进行 License 控制。
一晃已然快十年了一直都在平稳运行从这里发出的授权估计几千个了吧最近关于授权认证又收到营销提出的新需求由于我们开发语言以 JAVA 为主熟悉 JAVA 的同学都清楚 JAVA 源码很容易被反编译只要找到了认证的入口其实就很好破解。我们暂不探讨原来的授权具体方案。这个经历多次迭代本身也比较复杂。
现在产品侧提出的需求希望可以在线上传或者更新所有产品的授权认证文件不用通过shell登录服务器手动替换而且希望在上传完授权文件后系统对文件进行一次解析和验证对于不合法或者不匹配的文件不予通过做到提前过滤。
如果直接给下游产品提供授权认证SDK包的话所有加密的核心代码和逻辑全部会被暴露出来有没有比较合适的方案可以对源码进行加密呢这就是今天我们即将介绍的一款小工具 ClassFinal 。
二、ClassFinal 介绍
ClassFinal是一款java class文件安全加密工具支持直接加密jar包或war包无需修改任何项目代码兼容spring-framework可避免源码泄漏或字节码被反编译。
2.1、项目模块
classfinal-core: ClassFinal的核心模块几乎所有加密的代码都在这里classfinal-fatjar: ClassFinal打包成独立运行的jar包classfinal-maven-plugin: ClassFinal加密的maven插件
2.2、功能特性
无需修改原项目代码只要把编译好的jar/war包用本工具加密即可。运行加密项目时无需修改tomcatspring等源代码。支持普通jar包、springboot jar包以及普通java web项目编译的war包。支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。支持maven插件添加插件后在打包过程中自动加密。支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。支持绑定机器项目加密后只能在特定机器运行。支持加密springboot的配置文件。
三、普通项目加密
普通的JAVA项目可以直接通过命令行的方式执行加密
java -jar classfinal-fatjar-1.2.1.jar -file company-license-3.0.0.jar -packages de.schlichtherle,org.apache.mime2.node,xxx.license.core -exclude LicenseTest -pwd # -Y
参数说明
-file 加密的jar/war完整路径
-packages 加密的包名(可为空,多个用,分割)
-libjars jar/war包lib下要加密jar文件名(可为空,多个用,分割)
-cfgfiles 需要加密的配置文件一般是classes目录下的yml或properties文件(可为空,多个用,分割)
-exclude 排除的类名(可为空,多个用,分割)
-classpath 外部依赖的jar目录例如/tomcat/lib(可为空,多个用,分割)
-pwd 加密密码如果是#号则使用无密码模式加密
-code 机器码在绑定的机器生成加密后只可在此机器上运行
-Y 无需确认不加此参数会提示确认以上信息 结果: 执行命令后生成 company-license-3.0.0-encrypted.jar这个就是加密后的jar文件加密后的文件不可直接执行需要配置VM参数javaagent。 3.1、启动加密后的jar
加密后的项目需要设置javaagent来启动项目在启动过程中解密class完全内存解密不留下任何解密后的文件。解密功能已经自动加入到 company-license-3.0.0-encrypted.jar中所以启动时-javaagent与-jar相同不需要额外的jar包。
启动jar项目执行以下命令
java -javaagent:company-license-3.0.0-encrypted.jar-pwd 0000000 -jar company-license-3.0.0-encrypted.jar//参数说明
// -pwd 加密项目的密码
// -pwdname 环境变量中密码的名字
或者不加pwd参数直接启动启动后在控制台里输入密码推荐使用这种方式
java -javaagent:company-license-3.0.0-encrypted.jar -jar company-license-3.0.0-encrypted.jar
3.2、在IDEA中启动加密jar
在IDEA中配置javaagent运行参数可以按以下步骤进行操作
1、打开项目的Run/Debug Configurations窗口。
2、在Build and run配置模块点击Modify options选择Add VM options输入-javaagent:E:\sla_workspace\company-auth-demo\lib\company-auth-3.0.0.jar 运行程序开始在内存中揭秘 Class 文件程序可以正常运行输出结果 最新的密码读取顺序已经改为参数获取密码||环境变量获取密码||密码文件获取密码||控制台输入密码||GUI输入密码||退出
3.3、tomcat下运行加密后的war
将加密后的war放在tomcat/webapps下 tomcat/bin/catalina 增加以下配置:
//linux下 catalina.sh
CATALINA_OPTS$CATALINA_OPTS -javaagent:classfinal-fatjar-1.2.1.jar-pwd 0000000;
export CATALINA_OPTS;//win下catalina.bat
set JAVA_OPTS-javaagent:classfinal-fatjar.jar-pwd 000000//参数说明
// -pwd 加密项目的密码
// -nopwd 无密码加密时启动加上此参数跳过输密码过程
// -pwdname 环境变量中密码的名字 本工具使用AES算法加密class文件密码是保证不被破解的关键请保存好密码请勿泄漏。 密码一旦忘记项目不可启动且无法恢复请牢记密码。 本工具加密后原始的class文件并不会完全被加密只是方法体被清空保留方法参数、注解等信息这是为了兼容springswagger等扫描注解的框架 方法体被清空后反编译者只能看到方法名和注解看不到方法的具体内容当class被classloader加载时真正的方法体会被解密注入。 为了保证项目在运行时的安全启动jvm时请加参数: -XX:DisableAttachMechanism 。 四、Maven项目加密
Maven项目可以使用classfinal-maven-plugin插件。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动支持绑定机器项目加密后只能在特定机器运行。
只需要在启动类的pom.xml文件中加如下插件即可需要注意的是改插件时要放到spring-boot-maven-plugin插件后面否则不起作用。
?xml version1.0 encodingUTF-8?
project xmlnshttp://maven.apache.org/POM/4.0.0xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsdmodelVersion4.0.0/modelVersionparentgroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-parent/artifactIdversion2.4.3/versionrelativePath/ !-- lookup parent from repository --/parentgroupIdcom.yourcompany/groupIdartifactIdcompany-auth/artifactIdversion3.0.0/versionpackagingjar/packagingpropertiesmaven.compiler.source8/maven.compiler.sourcemaven.compiler.target8/maven.compiler.targetproject.build.sourceEncodingUTF-8/project.build.sourceEncoding/propertiesbuildpluginspluginartifactIdmaven-compiler-plugin/artifactIdconfigurationsource1.8/sourcetarget1.8/targetencodingUTF-8/encoding/configuration/pluginplugingroupIdorg.apache.maven.plugins/groupIdartifactIdmaven-dependency-plugin/artifactIdexecutionsexecutionidcopy-dependencies/idphaseprepare-package/phasegoalsgoalcopy-dependencies/goal/goalsconfigurationoutputDirectory${project.build.directory}/lib/outputDirectoryoverWriteReleasesfalse/overWriteReleasesoverWriteSnapshotsfalse/overWriteSnapshotsoverWriteIfNewertrue/overWriteIfNewer/configuration/execution/executions/pluginplugingroupIdorg.apache.maven.plugins/groupIdartifactIdmaven-jar-plugin/artifactIdconfigurationarchivemanifestmainClassCompanyAuthApplication/mainClassaddClasspathtrue/addClasspathclasspathPrefixlib//classpathPrefix/manifest/archive/configuration/pluginplugingroupIdorg.springframework.boot/groupIdartifactIdspring-boot-maven-plugin/artifactId/pluginplugin!--1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar6. 有密码启动方式,java -javaagent:xxx-encrypted.jar-pwd 密码 -jar xxx-encrypted.jar--groupIdnet.roseboy/groupIdartifactIdclassfinal-maven-plugin/artifactIdversion1.2.1/versionconfigurationpassword#/password!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 --excludesorg.spring/excludespackagesorg.apache.mime2.node,company.license.core/packages!-- 加密的包名,多个包用逗号分开 --!-- cfgfilesapplication.yml,application-dev.yml/cfgfiles加密的配置文件,多个包用逗号分开 --libjarshutool-all.jar/libjars !-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 --code/code !-- 指定机器启动,机器码 --/configurationexecutionsexecutionphasepackage/phasegoalsgoalclassFinal/goal/goals/execution/executions/plugin/plugins/build
/project
五、反编译效果
启动包加密之后方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描反编译只能看到方法名和注解,看不到方法体的具体内容启动过程中解密class,完全内存解密,不留下任何解密后的文件。 六、绑定机器启动
下载到classfinal-fatjar-1.2.1.jar 依赖在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令会自动生成一串机器码 将此生成好的机器码普通项目增加-code参数指定机器码maven项目放到maven插件中的code里面即可。这样打包好的项目只能在生成机器码的机器运行其他机器则启动不了项目。
七、References
[1]. Classfinal Github:
https://github.com/roseboy/classfinal
[2]. Classfinal Gitee
https://gitee.com/roseboy/classfinal
[3]. Classfinal JAR Download:
https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar
