目录[-]
一、场景介绍
两个工程 Project1,Project2(将被混淆的工程)。Project1 将通过 Maven 依赖配置的方式引用混淆后的 Project2。后面我会详细介绍 pom.xml 的配置。
二、Maven 配置
1、Project1 的 pom.xml
该 pom.xml 比较简单主要通过 classifier 来判断是否使用混淆的 Jar(Project2)
?| 1234567891011121314151617181920 | <?xml="1.0"="UTF-8"?><project="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>org.noahx.proguard.example</groupId> <artifactId>project1</artifactId> <version>1.0-SNAPSHOT</version> <dependencies> <dependency> <groupId>org.noahx.proguard.example</groupId> <artifactId>project2</artifactId> <classifier>pg</classifier><!--如果不想依赖混淆的包,请注释掉该行--> <version>1.0-SNAPSHOT</version> </dependency> </dependencies> </project> |
2、Project2 的 pom.xml
pom.xml 中配置的 proguard-maven-plugin 来做混淆,详细说明见注释。
?| 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677 | <?xml="1.0"="UTF-8"?><project="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>org.noahx.proguard.example</groupId> <artifactId>project2</artifactId> <version>1.0-SNAPSHOT</version> <build> <plugins> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.0.7</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <attach>true</attach> <attachArtifactClassifier>pg</attachArtifactClassifier> <!-- attach 的作用是在 install 与 deploy 时将生成的 pg 文件也安装与部署 --> <options><!-- 详细配置方式参考 ProGuard 官方文档 --> <!--<option>-dontobfuscate</option>--> <option>-ignorewarnings</option><!--忽略所有告警--> <option>-dontshrink</option> <!--不做 shrink --> <option>-dontoptimize</option><!--不做 optimize --> <option>-dontskipnonpubliclibraryclasses</option> <option>-dontskipnonpubliclibraryclassmembers</option> <option>-repackageclasses org.noahx.proguard.example.project2.pg</option> <!--平行包结构(重构包层次),所有混淆的类放在 pg 包下--> <!-- 以下为 Keep,哪些内容保持不变,因为有一些内容混淆后(a,b,c)导致反射或按类名字符串相关的操作失效 --> <option>-keep class **.package-info</option> <!--保持包注解类--> <option>-keepattributes Signature</option> <!--JAXB NEED,具体原因不明,不加会导致 JAXB 出异常,如果不使用 JAXB 根据需要修改--> <!-- Jaxb requires generics to be available to perform xml parsing and without this option ProGuard was not retaining that information after obfuscation. That was causing the exception above. --> <option>-keepattributes SourceFile,LineNumberTable,*Annotation*</option> <!--保持源码名与行号(异常时有明确的栈信息),注解(默认会过滤掉所有注解,会影响框架的注解)--> <option>-keepclassmembers enum org.noahx.proguard.example.project2.** { *;}</option> <!--保持枚举中的名子,确保枚举 valueOf 可以使用--> <option>-keep class org.noahx.proguard.example.project2.bean.** { *;}</option> <!--保持 Bean 类,(由于很多框架会对 Bean 中的内容做反射处理,请根据自己的业务调整) --> <option>-keep class org.noahx.proguard.example.project2.Project2 { public void init(); public void destroy(); } </option> <!-- 保持对外的接口性质类对外的类名与方法名不变 --> </options> <outjar>${project.build.finalName}-pg</outjar> <libs> <lib>${java.home}/lib/rt.jar</lib> </libs> </configuration> </plugin> </plugins> </build> </project> |
三、Java 混淆前后内容比较
这里只比较 Project2 类的不同。其它类的比较,请大家使用 jd-gui 等反编译工具进行比较。
1、混淆前的 Project2 类
?| 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455 | packageimportimport/** * Created by noah on 8/20/14. */publicProject2 { publicinit() { test1(); test2(); } privatetest1() { Status on = Status.valueOf("On"); switch case } break; case } break; } } privatetest2() { TestDao testDao=new User user=new user.setUserid("abc"); user.setPassword("pwd"); user.setDescription("des"); testDao.save(user); } privatetest3() { } privatetest4() { } privatethrowException() { throwRuntimeException("hello"); } publicdestroy() { test3(); test4(); throwException(); }} |
2、混淆后的 Project2 类
所有没有指定 keep 的内容都变为了 a,b,c...,增大了阅读难度。
?| 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849 | packageimportpublicProject2{ publicinit() { b(); c(); } privateb() { b localb = b.valueOf("On"); switch { case: break; case: } } privatec() { a locala = new org.noahx.proguard.example.project2.pg.b localb = new localb.a("abc"); localb.b("pwd"); localb.c("des"); locala.a(localb); } privated() { } privatee() { } publica() { throwRuntimeException("hello"); } publicdestroy() { d(); e(); a(); }} |
四、类路径中资源加载问题
使用 ProGuard 产生的 Jar 包,会发生无法定位 Jar 中资源的问题。原因不详,我没有太深入研究。
使用 [类名].class.getResource(),Thread.currentThread().getContextClassLoader().getResource(),不论是否以“/”开头都返回 null。没有混淆的 Jar 是没有这个问题的。
我使用了一种直接读取 Jar 中内容的方式来解决。
?
| 123456789101112 | finalnewclass.getProtectionDomain().getCodeSource().getLocation().getPath());//定位类所在的 Jar 文件 if(jarFile.isFile()) { finalnew Enumeration<JarEntry> entries = jar.entries(); while JarEntry entry = entries.nextElement(); if"org/noahx")) { InputStream entryInputStream = jarFile.getInputStream(entry); //遍历包中的内容来获得资源 } } jar.close(); } |
五、总结
使用 proguard-maven-plugin 插件,既保持了 Maven 的依赖模式,又满足了我的混淆需求。其它详细的参数配置,大家可以参考官方文档。
ProGuard 满足了我的需求。至于是好是坏,希望大家不要围绕这点做没有必要的争论,谢谢。