SpringBoot3 JDK17集成proguard实现混淆打包

集成Maven,打包时自动混淆(推荐)

proguard提供了Maven插件,集成到Maven中,项目打包时自动进行混淆,方便快捷

局限性

Proguard本质上是通过读取jar,根据规则生成混淆映射,重写源码后输出jar,所以对于单模块的打包混淆比较友好,配置简单,

但是多模块项目下打包混淆就比较困难,涉及到多模块依赖的问题,如A模块方法签名xxxService.save,混淆后变成a.c,

不要对各子模块单独混淆。应在最终聚合模块的 package 阶段,将所有子模块 JAR 作为 -injars 输入,

统一执行一次 ProGuard。跨模块公共 API(接口、DTO)通过 -keep 保留,内部实现类正常混淆。

1.项目架构

JDK17, SpringBoot3,单模块

2.Pom

这里的插件顺序很重要,不能更改,proguard需要先读取无任何lib依赖的thin jar,输出混淆后的thin jar,

最后通过spring-boot-maven-plugin repackage,输出可执行的springboot fat jar,

如果直接使用spring-boot-maven-plugin打包出fat jar,proguard混淆输出后的包结构将被破坏,导致无法启动,摸索了好久才找到这个问题
xxxx..... {project.artifactId}-{version} org.apache.maven.plugins maven-jar-plugin {apache.maven.version} default-jar none create-thin-jar prepare-package jar com.github.wvengen proguard-maven-plugin {proguard.version} prepare-package proguard {project.build.finalName}.jar {project.build.finalName}.jar proguard-rules.pro false {java.home}/lib/jrt-fs.jar com.guardsquare proguard-base {proguard.base.version} org.springframework.boot spring-boot-maven-plugin com.换成你自己的启动类包名.XXXApplication package repackage 3.proguard混淆规则配置文件 根目录新建文件proguard-rules.pro, 名字可以自定义,跟上面Maven的proguardInclude对应即可 根据自己的项目包名结构,修改一下下面的保留规则

==========================================

1. 基础 Java 设置

==========================================

关闭 shrink(删除未用代码),Spring Boot 自动装配会有很多看似未用的类,删除必报错

-dontshrink

关闭 optimize(优化),JDK 17 配合 Spring Boot 优化极易引发类转换异常

-dontoptimize

忽略警告(第三方库经常会产生一些无害的警告,不忽略会导致打包中断)

-dontwarn

保留源文件名和行号,方便线上出Bug时根据异常栈反混淆查找问题

-keepattributes SourceFile,LineNumberTable

保留签名(泛型信息),MyBatis-Plus 和 HAPI 强依赖泛型反射

-keepattributes Signature

保留注解

-keepattributes Annotation

保留内部类、封闭类(JDK 17 新特性支持)、异常信息

-keepattributes InnerClasses,EnclosingMethod,PermittedSubclasses,Exceptions

==========================================

2. 启动类保留

==========================================

-keep public class com.换成你自己的包名.xxxApplication {

public static void main(java.lang.String\[\]);

}

==========================================

3. Spring Boot 核心保留规则

==========================================

-keep @org.springframework.stereotype.* class *

-keep @org.springframework.context.annotation.Configuration class *

-keep @org.springframework.boot.context.properties.ConfigurationProperties class * { ; }
-keep @org.springframework.web.bind.annotation.
class *

-keep @org.springframework.boot.autoconfigure.SpringBootApplication class *

只保留带有这些"生命周期/注入"注解的方法名。

其他没有注解的 public/private 方法,将被 ProGuard 混淆

-keepclassmembers class * {

@org.springframework.beans.factory.annotation.Autowired *;

@org.springframework.beans.factory.annotation.Value *;

@javax.inject.Inject *;

@org.springframework.context.annotation.Bean *;

@org.springframework.transaction.annotation.Transactional *;

@org.springframework.scheduling.annotation.Scheduled ;
@org.springframework.web.bind.annotation.
*;

@jakarta.annotation.PreDestroy *;

@jakarta.annotation.PostConstruct *;

}

==========================================

4. MyBatis-Plus 保留规则

==========================================

保留 MyBatis-Plus 自身代码

-keep class com.baomidou.mybatisplus.** { *; }

保留 MyBatis 核心代码

-keep class org.apache.ibatis.** { *; }

实体类:绝对不能混淆,否则 MyBatis 无法将数据库字段映射到对象

-keep class com.换成你自己的包名.entity.** { ; }
-keep class com.换成你自己的包名.domain.
* { ; }
-keep class com.换成你自己的包名.model.
* { *; }

DTO / VO:如果用在了接口返回值,建议不混淆,否则前端接收到的 JSON key 会变成 a, b, c

-keep class com.换成你自己的包名.dto.** { ; }
-keep class com.换成你自己的包名.vo.
* { *; }

Mapper 接口:动态代理需要,不能混淆

-keep interface com.换成你自己的包名.mapper.** { *; }

==========================================

5. 其他通用 Java 库保留

==========================================

序列化相关

-keep class * implements java.io.Serializable { *; }

枚举类(MyBatis-Plus 处理枚举需要)

-keepclassmembers enum * {

public static **\[\] values();

public static ** valueOf(java.lang.String);

}

Jackson 序列化/反序列化(Spring Boot 默认 JSON 库)

-keep class com.fasterxml.jackson.** { ; }
-keepclassmembers class * {
@com.fasterxml.jackson.annotation.
*;

}

  1. 反编译查看打包结果

推荐使用进行jd-gui反编译, 轻量化且方便

可以看到配置了保留规则的包和类进行了保留,其他类则都被混淆

image

image

相关推荐
甄同学2 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official2 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes
星释3 小时前
鸿蒙智能体开发实战:29.智能体安全与成本优化
服务器·安全·华为·harmonyos·鸿蒙·智能体
数据知道4 小时前
DNS 安全攻防:缓存投毒、DNS 隧道与检测实战
安全·网络安全·缓存·缓存投毒
humors2214 小时前
【转帖】关于防范AI编程工具Claude Code安全后门隐患的风险提示
网络·安全·ai编程
梦帮科技5 小时前
Rust+Tauri+EVM:构建下一代内存安全级数字版权(DRM)主权音频网络与跨链金融系统的技术实践与全景架构
网络·安全·架构·rust·区块链·音视频·web3.py
@insist1236 小时前
系统规划与管理师-信息安全规划概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
xixixi7777717 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_4665252917 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全