XJar简介
-
Spring Boot JAR 安全加密运行工具, 同时支持的原生JAR
-
基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动, 动态解密运行的方案, 避免源码泄露以及反编译.
功能特性
-
无代码侵入, 只需要把编译好的JAR包通过工具加密即可.
-
完全内存解密, 降低源码以及字节码泄露或反编译的风险.
-
支持所有JDK内置加解密算法.
-
可选择需要加解密的字节码或其他资源文件.
-
支持Maven插件, 加密更加便捷.
-
动态生成Go启动器, 保护密码不泄露.
环境依赖
JDK 1.7+
使用步骤
1. 添加依赖
<project> <!-- 设置 jitpack.io 仓库 --> <repositories> <repository> <id>jitpack.io</id> <url>https://jitpack.io</url> </repository> </repositories> <!-- 添加 XJar 依赖 --> <dependencies> <dependency> <groupId>com.github.core-lib</groupId> <artifactId>xjar</artifactId> <version>4.0.2</version> <!-- <scope>test</scope> --> </dependency> </dependencies> </project>
-
必须添加 https://jitpack.io Maven仓库.
-
如果使用 JUnit 测试类来运行加密可以将 XJar 依赖的 scope 设置为 test.
2. 加密源码
XCryptos.encryption()
.from("/path/to/read/plaintext.jar")
.use("io.xjar")
.include("/io/xjar/**/*.class")
.include("/mapper/**/*Mapper.xml")
.exclude("/static/**/*")
.exclude("/conf/*")
.to("/path/to/save/encrypted.jar");
3. 参数说明
| 方法名称 | 参数列表 | 是否必选 | 方法说明 |
|---|---|---|---|
| from | (String jar) | 二选一 | 指定待加密JAR包路径 |
| from | (File jar) | 指定待加密JAR包文件 | |
| use | (String password) | 二选一 | 指定加密密码 |
| use | (String algorithm, int keysize, int ivsize, String password) | 指定加密算法及加密密码 | |
| include | (String ant) | 可多次调用 | 指定要加密的资源相对于classpath的ANT路径表达式 |
| include | (Pattern regex) | 可多次调用 | 指定要加密的资源相对于classpath的正则路径表达式 |
| exclude | (String ant) | 可多次调用 | 指定不加密的资源相对于classpath的ANT路径表达式 |
| exclude | (Pattern regex) | 可多次调用 | 指定不加密的资源相对于classpath的正则路径表达式 |
| to | (String xJar) | 二选一 | 指定加密后JAR包输出路径, 并执行加密. |
| to | (File xJar) | 指定加密后JAR包输出文件, 并执行加密. |
-
指定加密算法的时候密钥长度以及向量长度必须在算法可支持范围内, 具体加密算法的密钥及向量长度请自行百度或谷歌.
-
include 和 exclude 同时使用时即加密在include的范围内且排除了exclude的资源.
4. 编译脚本
# go build xjar.go
-
通过步骤2加密成功后XJar会在输出的JAR包同目录下生成一个名为 xjar.go 的的Go启动器源码文件.
-
将 xjar.go 在不同的平台进行编译即可得到不同平台的启动器可执行文件, 其中Windows下文件名为 xjar.exe 而Linux下为 xjar
-
用于编译的机器需要安装 Go 环境, 用于运行的机器则可不必安装 Go 环境, 具体安装教程请自行搜索.
-
由于启动器自带JAR包防篡改校验, 故启动器无法通用, 即便密码相同也不行.
5.启动运行
/path/to/xjar /path/to/java [OPTIONS] -jar /path/to/encrypted.jar [ARGS]/path/to/xjar /path/to/javaw [OPTIONS] -jar /path/to/encrypted.jar [ARGS] nohup /path/to/xjar /path/to/java [OPTIONS] -jar /path/to/encrypted.jar [ARGS]
-
在 Java 启动命令前加上编译好的Go启动器可执行文件名(xjar)即可启动运行加密后的JAR包.
-
若使用 nohup 方式启动则 nohup 要放在Go启动器可执行文件名(xjar)之前.
-
若Go启动器可执行文件名(xjar)不在当前命令行所在目录则要通过绝对路径或相对路径指定.
-
仅支持通过 -jar 方式启动, 不支持-cp或-classpath的方式.
-
-jar 后面必须紧跟着启动的加密jar文件路径
-
例子: 如果当前命令行就在 xjar 所在目录, java 环境变量也设置好了 ./xjar java -Xms256m -Xmx1024m -jar /path/to/encrypted.jar
6. 使用举例(window环境)
-
安装配置好JDK、GO环境
-
引入依赖(步骤1所述),完成加密
-
编辑脚本(go build xjar.go),生成可执行文件
-
使用xjar启动jar
-
验证:修改jar并重新启动
插件集成
Maven项目可通过集成 xjar-maven-plugin 以免去每次加密都要执行一次上述的代码, 随着Maven构建自动生成加密后的JAR和Go启动器源码文件.
<project> <!-- 设置 jitpack.io 插件仓库 --> <pluginRepositories> <pluginRepository> <id>jitpack.io</id> <url>https: </pluginRepository> </pluginRepositories> <!-- 添加 XJar Maven 插件 --> <build> <plugins> <plugin> <groupId>com.github.core-lib</groupId> <artifactId>xjar-maven-plugin</artifactId> <version>4.0.2</version> <executions> <execution> <goals> <goal>build</goal> </goals> <phase></phase> <!--<phase>install</phase> --> <configuration> <password>io.xjar</password> <!--<algorithm/> <keySize/> <ivSize/> <includes> <include/> </includes> <excludes> <exclude/> </excludes> <sourceDir/> <sourceJar/> <targetDir/> <targetJar/> --> </configuration> </execution> </executions> </plugin> </plugins> </build> </project>
对于Spring Boot 项目或模块, 该插件要后于 spring-boot-maven-plugin 插件执行, 有两种方式:
-
将插件放置于 spring-boot-maven-plugin 的后面, 因为其插件的默认 phase 也是 package
-
将插件的 phase 设置为 install(默认值为:package), 打包命令采用 mvn clean install
也可以通过Maven命令执行
mvn xjar:build -Dxjar.password=io.xjar mvn xjar:build -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar
但通常情况下是让XJar插件绑定到指定的phase中自动执行, 这样就能在项目构建的时候自动构建出加密的包
mvn clean package -Dxjar.password=io.xjar mvn clean install -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar
强烈建议
强烈建议不要在 pom.xml 的 xjar-maven-plugin 配置中写上密码,这样会导致打包出来的 xjar 包中的 pom.xml 文件保留着密码,极其容易暴露密码!强烈推荐通过 mvn 命令来指定加密密钥!
参数说明
| 参数名称 | 命令参数名称 | 参数说明 | 参数类型 | 缺省值 | 示例值 |
|---|---|---|---|---|---|
| password | -Dxjar.password | 密码字符串 | String | 必须 | 任意字符串, io.xjar |
| algorithm | -Dxjar.algorithm | 加密算法名称 | String | AES/CBC/PKCS5Padding | JDK内置加密算法, 如:AES/CBC/PKCS5Padding 和 DES/CBC/PKCS5Padding |
| keySize | -Dxjar.keySize | 密钥长度 | int | 128 | 根据加密算法而定, 56, 128, 256 |
| ivSize | -Dxjar.ivSize | 密钥向量长度 | int | 128 | 根据加密算法而定, 128 |
| sourceDir | -Dxjar.sourceDir | 源jar所在目录 | File | ${project.build.directory} | 文件目录 |
| sourceJar | -Dxjar.sourceJar | 源jar名称 | String | ${project.build.finalName}.jar | 文件名称 |
| targetDir | -Dxjar.targetDir | 目标jar存放目录 | File | ${project.build.directory} | 文件目录 |
| targetJar | -Dxjar.targetJar | 目标jar名称 | String | ${project.build.finalName}.xjar | 文件名称 |
| includes | -Dxjar.includes | 需要加密的资源路径表达式 | String[] | 无 | io/xjar/** , mapper/*Mapper.xml , 支持Ant表达式 |
| excludes | -Dxjar.excludes | 无需加密的资源路径表达式 | String[] | 无 | static/** , META-INF/resources/** , 支持Ant表达式 |
-
指定加密算法的时候密钥长度以及向量长度必须在算法可支持范围内, 具体加密算法的密钥及向量长度请自行百度或谷歌.
-
当 includes 和 excludes 同时使用时即加密在includes的范围内且排除了excludes的资源.
参考: https://github.com/core-lib/xjar