今天和大家一起學習下java中的代碼混淆技術，后面你也可以讓你的代碼不再裸露在外了，讓人輕易窺視

代碼混淆技術

當需要閱讀jar文件的內容時，可能你會使用一些反編譯工具，比如jd-gui，但是否有遇到反編譯后的內容和想象的不一樣，但正常引用該jar又都是正常的？

開始的話

前段時間，使用了docx4j的庫來操作.docx文件進行一些復雜的操作，比如對多個docx文件進行合并，在網上找了很多的方式發現最終生成的文檔都有很多多余的內容， 導致原本幾兆的文件合并后有幾十兆，記得docx4j官網有提供商業版本的方法，準備窺探下其源碼來研究下，然而當我下載好jar后打開時，我蒙了...

簡介

我們知道，一般情況下編譯打包后的jar文件可以通過反編譯工具看到jar中的接口、類、方法都是可以被，這樣相關的代碼實現很容易被模仿借鑒，企業的核心代碼很可能被人盜用。特別是一些涉密較強或者商業性的行業軟件，當被拿到jar并反編譯后如同開源一般。那么通過對class文件進行字節碼級別的混淆加密，就能夠在一定程度防止技術被模仿或復用， 從而對java軟件起到很好的保護作用。

實現方式

1. 對class文件進行加密，但是需要特定的Classloader在加載class時對其解密
2. 針對class文件反編譯原理，通過花指令防止文件被反編譯
3. 基于代碼混淆技術，對代碼中的包、類、方法等名稱進行混淆，從而提高代碼閱讀成本

示例

今天主要介紹通過第3種方法實現代碼混淆，這里主要使用了proguard工具對應的maven插件 proguard-maven-plugin :

Proguard是一個Java類文件壓縮器、優化器、混淆器、預校驗器。壓縮環節會檢測以及移除沒有用到的類、字段、方法以及屬性。優化環節會分析以及優化方法的字節碼。混淆環節會用無意義的短變量去重命名類、變量、方法。這些步驟讓代碼更精簡，更高效，也更難被逆向（破解）

比如我們基于Restful開發一個用戶服務接口

1. 可能你的項目結構會是這樣的：

packages...
├ entity
|  ├ User
├ dao
|  ├ UserDao
|  ├ impl
|    ├ UserDaoImpl
├ service
|  ├ UserService
|  ├ impl
|    ├ UserServiceImpl
├ web
|  ├ UserController

通過命令mvn package打包后，結構是這樣的：

2. 現在引入proguard:

需要在pom.xml中build標簽中加入插件，具體配置如下：

< !-- ProGuard混淆插件-- >
            < plugin >
                < groupId >com.github.wvengen< /groupId >
                < artifactId >proguard-maven-plugin< /artifactId >
                < version >2.6.0< /version >
                < executions >
                    < execution >
                        < !-- 混淆時刻，這里是打包的時候混淆-- >
                        < phase >package< /phase >
                        < goals >
                            < !-- 使用插件的什么功能-- >
                            < goal >proguard< /goal >
                        < /goals >
                    < /execution >
                < /executions >
                < configuration >
                    < !-- 是否將生成的PG文件安裝部署-- >
                    < attach >true< /attach >
                    < !-- 對什么東西進行加載，這里僅有classes成功，畢竟你也不可能對配置文件及JSP混淆吧-- >
                    < injar >${project.build.finalName}.jar< /injar >
                    < !--class 混淆后輸出的jar包-- >
                    < outjar >${project.build.finalName}-pg.jar< /outjar >
                    < !-- 是否混淆-- >
                    < obfuscate >true< /obfuscate >
                    < !-- 配置一個文件，通常叫做proguard.cfg,該文件主要是配置options選項，也就是說使用proguard.cfg那么options下的所有內容都可以移到proguard.cfg中 -- >
                    < proguardInclude >${project.basedir}/proguard.cfg< /proguardInclude >
                    < !-- 指定生成文件分類 -- >
                    < attachArtifactClassifier >pg< /attachArtifactClassifier >
                    < !-- 額外的jar包，通常是項目編譯所需要的jar -- >
                    < libs >
                        < lib >${java.home}/lib/rt.jar< /lib >
                    < /libs >
                    < !-- 對輸入jar進行過濾比如，如下配置就是對META-INFO文件不處理。 -- >
                    < inLibsFilter >!META-INF/**< /inLibsFilter >
                    < !-- 這是輸出路徑配置，但是要注意這個路徑必須要包括injar標簽填寫的jar -- >
                    < outputDirectory >${project.basedir}/target< /outputDirectory >
                    < !--這里特別重要，此處主要是配置混淆的一些細節選項，比如哪些類不需要混淆，哪些需要混淆-- >
                    < options >
                        < !-- 可以在此處寫option標簽配置，不過我上面使用了proguardInclude，故而我更喜歡在proguard.cfg中配置 -- >
                    < /options >
                < /configuration >
            < /plugin >

其中配置文件proguard.cfg如下：

#指定Java的版本
-target 1.8
#proguard會對代碼進行優化壓縮，他會刪除從未使用的類或者類成員變量等
-dontshrink
#是否關閉字節碼級別的優化，如果不開啟則設置如下配置
-dontoptimize
#混淆時不生成大小寫混合的類名，默認是可以大小寫混合
-dontusemixedcaseclassnames
# 對于類成員的命名的混淆采取唯一策略
-useuniqueclassmembernames
#混淆時不生成大小寫混合的類名，默認是可以大小寫混合
-dontusemixedcaseclassnames
#混淆類名之后，對使用Class.forName('className')之類的地方進行相應替代
-adaptclassstrings
 
#對異常、注解信息予以保留
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod
# 此選項將保存接口中的所有原始名稱（不混淆）-- >
# -keepnames interface ** { *; }
# 此選項將保存所有軟件包中的所有原始接口文件（不進行混淆）
#-keep interface * extends * { *; }
#保留參數名，因為控制器，或者Mybatis等接口的參數如果混淆會導致無法接受參數，xml文件找不到參數
-keepparameternames
# 保留枚舉成員及方法
-keepclassmembers enum * { *; }
# 不混淆所有類,保存原始定義的注釋-
-keepclassmembers class * {
                        @org.springframework.context.annotation.Bean *;
                        @org.springframework.beans.factory.annotation.Autowired *;
                        @org.springframework.beans.factory.annotation.Value *;
                        @org.springframework.stereotype.Service *;
                        @org.springframework.stereotype.Component *;
                        }
 
#忽略warn消息
-ignorewarnings
#忽略note消息
-dontnote
#打印配置信息
-printconfiguration

3. 執行打包命令mvc package，可以看到target目錄下新增了幾個文件

• obfuscation-pg.jar 混淆處理后的輸出jar
• proguard_map.txt 存放混淆前后類、方法的對應關系
• proguard_seed.txt 存放保持不變的類 可見包的名稱、類名都改成了短字母

實現技術

通過proguard來實現class內容的混淆相對比較簡單，當然還有很多其他的技術方法，比如上面說到的對class進行加密這種更安全的技術手段，感興趣的你可以繼續探究。

其他技術

• Jocky
• retroguard
• androidkiller
• ClassFinal

結束語

此篇文章簡單介紹了java中的代碼混淆技術，我們可以根據具體的項目需求對編譯后的代碼進行混淆或加密處理，從而保護自己的勞動成果。開頭看到的docx4j企業級功能提供 的jar具體是怎么實現代碼保護的，目前還沒發現其具體采用了什么技術實現，后面繼續研究。