XJar 
GitHub: https://github.com/core-lib/xjarjava
Spring Boot JAR 安全加密運行工具, 同時支持的原生JAR.
基於對JAR包內資源的加密以及拓展ClassLoader來構建的一套程序加密啓動, 動態解密運行的方案, 避免源碼泄露以及反編譯.
功能特性
- 無代碼侵入, 只須要把編譯好的JAR包經過工具加密便可.
- 徹底內存解密, 下降源碼以及字節碼泄露或反編譯的風險.
- 支持全部JDK內置加解密算法.
- 可選擇須要加解密的字節碼或其餘資源文件.
- 支持Maven插件, 加密更加便捷.
- 動態生成Go啓動器, 保護密碼不泄露.
環境依賴
JDK 1.7 +git
使用步驟
1. 添加依賴
<project>
<!-- 設置 jitpack.io 倉庫 -->
<repositories>
<repository>
<id>jitpack.io</id>
<url>https://jitpack.io</url>
</repository>
</repositories>
<!-- 添加 XJar 依賴 -->
<dependencies>
<dependency>
<groupId>com.github.core-lib</groupId>
<artifactId>xjar</artifactId>
<version>4.0.0</version>
<!-- <scope>test</scope> -->
</dependency>
</dependencies>
</project>
- 必須添加 https://jitpack.io Maven倉庫.
- 若是使用 JUnit 測試類來運行加密能夠將 XJar 依賴的 scope 設置爲 test.
2. 加密源碼
XCryptos.encryption()
.from("/path/to/read/plaintext.jar")
.use("io.xjar")
.include("/io/xjar/**/*.class")
.include("/mapper/**/*Mapper.xml")
.exclude("/static/**/*")
.exclude("/conf/*")
.to("/path/to/save/encrypted.jar");
- include 和 exclude 同時使用時即加密在include的範圍內且排除了exclude的資源.
3. 編譯腳本
go build xjar.go
- 經過步驟2加密成功後XJar會在輸出的JAR包同目錄下生成一個名爲 xjar.go 的的Go啓動器源碼文件.
- 將 xjar.go 在不一樣的平臺進行編譯便可獲得不一樣平臺的啓動器可執行文件, 其中Windows下文件名爲 xjar.exe 而Linux下爲 xjar.
- 用於編譯的機器須要安裝 Go 環境, 用於運行的機器則可沒必要安裝 Go 環境, 具體安裝教程請自行搜索.
- 因爲啓動器自帶JAR包防篡改校驗, 故啓動器沒法通用, 即使密碼相同也不行.
4. 啓動運行
xjar java -jar /path/to/encrypted.jar xjar javaw -jar /path/to/encrypted.jar nohup xjar java -jar /path/to/encrypted.jar
- 在 Java 啓動命令前加上編譯好的Go啓動器可執行文件名(xjar)便可啓動運行加密後的JAR包.
- 若使用 nohup 方式啓動則 nohup 要放在Go啓動器可執行文件名(xjar)以前.
- 若Go啓動器可執行文件名(xjar)不在當前命令行所在目錄則要經過絕對路徑或相對路徑指定.
- 僅支持經過 -jar 方式啓動, 不支持-cp或-classpath的方式.
注意事項
1. 不兼容 spring-boot-maven-plugin 的 executable = true 以及 embeddedLaunchScript
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<!-- 須要將executable和embeddedLaunchScript參數刪除, 目前還不能支持對該模式Jar的加密!後面可能會支持該方式的打包.
<configuration>
<executable>true</executable>
<embeddedLaunchScript>...</embeddedLaunchScript>
</configuration>
-->
</plugin>
2. Spring Boot + JPA(Hibernate) 啓動報錯問題
若是項目中使用了 JPA 且實現爲Hibernate時, 因爲Hibernate本身解析加密後的Jar文件, 因此沒法正常啓動, 能夠採用如下解決方案:github
- clone XJar-Agent-Hibernate , 使用 mvn clean package 編譯出 xjar-agent-hibernate-${version}.jar 文件
- 採用 xjar java -javaagent:xjar-agent-hibernate-${version}.jar -jar your-spring-boot-app.jar 命令啓動
3. 靜態文件瀏覽器沒法加載完成問題
因爲靜態文件被加密後文件體積變大, Spring Boot 會採用文件的大小做爲 Content-Length 頭返回給瀏覽器, 但實際上經過 XJar 加載解密後文件大小恢復了本來的大小, 因此瀏覽器認爲還沒接收完致使一直等待服務端. 由此咱們須要在加密時忽略靜態文件的加密, 實際上靜態文件也沒加密的必要, 由於即使加密了用戶在瀏覽器 查看源代碼也是能看到完整的源碼.一般狀況下靜態文件都會放在 static/ 和 META-INF/resources/ 目錄下, 咱們只須要在加密時經過 exclude 方法排除這些資源便可, 能夠參考如下例子:正則表達式
XCryptos.encryption()
.from("/path/to/read/plaintext.jar")
.use("io.xjar")
.exclude("/static/**/*")
.exclude("/META-INF/resources/**/*")
.to("/path/to/save/encrypted.jar");
插件集成
Maven項目可經過集成 xjar-maven-plugin 以避免去每次加密都要執行一次上述的代碼, 隨着Maven構建自動生成加密後的JAR和Go啓動器源碼文件.
xjar-maven-plugin GitHub: https://github.com/core-lib/xjar-maven-plugin算法
<project>
<!-- 設置 jitpack.io 插件倉庫 -->
<pluginRepositories>
<pluginRepository>
<id>jitpack.io</id>
<url>https://jitpack.io</url>
</pluginRepository>
</pluginRepositories>
<!-- 添加 XJar Maven 插件 -->
<build>
<plugins>
<plugin>
<groupId>com.github.core-lib</groupId>
<artifactId>xjar-maven-plugin</artifactId>
<version>4.0.0</version>
<executions>
<execution>
<goals>
<goal>build</goal>
</goals>
<phase>package</phase>
<!-- 或使用
<phase>install</phase>
-->
<configuration>
<password>io.xjar</password>
<!-- optional
<algorithm/>
<keySize/>
<ivSize/>
<includes>
<include/>
</includes>
<excludes>
<exclude/>
</excludes>
<sourceDir/>
<sourceJar/>
<targetDir/>
<targetJar/>
-->
</configuration>
</execution>
</executions>
</plugin>
</plugins>
</build>
</project>
對於Spring Boot 項目或模塊, 該插件要後於 spring-boot-maven-plugin 插件執行, 有兩種方式:
- 將插件放置於 spring-boot-maven-plugin 的後面, 由於其插件的默認 phase 也是 package
- 將插件的 phase 設置爲 install(默認值爲:package), 打包命令採用 mvn clean install
也能夠經過Maven命令執行
mvn xjar:build -Dxjar.password=io.xjar mvn xjar:build -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar
但一般狀況下是讓XJar插件綁定到指定的phase中自動執行, 這樣就能在項目構建的時候自動構建出加密的包.
mvn clean package -Dxjar.password=io.xjar mvn clean install -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar
強烈建議
強烈建議不要在 pom.xml 的 xjar-maven-plugin 配置中寫上密碼,這樣會致使打包出來的 xjar 包中的 pom.xml 文件保留着密碼,極其容易暴露密碼!強烈推薦經過 mvn 命令來指定加密密鑰!spring
參數說明
| 參數名稱 | 命令參數名稱 | 參數說明 | 參數類型 | 缺省值 | 示例值 |
|---|---|---|---|---|---|
| password | -Dxjar.password | 密碼字符串 | String | 必須 | 任意字符串, io.xjar |
| algorithm | -Dxjar.algorithm | 加密算法名稱 | String | AES/CBC/PKCS5Padding | JDK內置加密算法, 如:AES/CBC/PKCS5Padding 和 DES/CBC/PKCS5Padding |
| keySize | -Dxjar.keySize | 密鑰長度 | int | 128 | 根據加密算法而定, 56, 128, 256 |
| ivSize | -Dxjar.ivSize | 密鑰向量長度 | int | 128 | 根據加密算法而定, 128 |
| sourceDir | -Dxjar.sourceDir | 源jar所在目錄 | File | ${project.build.directory} | 文件目錄 |
| sourceJar | -Dxjar.sourceJar | 源jar名稱 | String | ${project.build.finalName}.jar | 文件名稱 |
| targetDir | -Dxjar.targetDir | 目標jar存放目錄 | File | ${project.build.directory} | 文件目錄 |
| targetJar | -Dxjar.targetJar | 目標jar名稱 | String | ${project.build.finalName}.xjar | 文件名稱 |
| includes | -Dxjar.includes | 須要加密的資源路徑表達式 | String[] | 無 | io/xjar/** , mapper/*Mapper.xml , 支持Ant表達式 |
| excludes | -Dxjar.excludes | 無需加密的資源路徑表達式 | String[] | 無 | static/** , META-INF/resources/** , 支持Ant表達式 |
- 指定加密算法的時候密鑰長度以及向量長度必須在算法可支持範圍內, 具體加密算法的密鑰及向量長度請自行百度或谷歌.
- 當 includes 和 excludes 同時使用時即加密在includes的範圍內且排除了excludes的資源.
更多文檔:xjar-maven-pluginshell
版本記錄
- 4.0.0
- 加解密支持填充模式
- 加解密支持IV-Parameter
- 升級啓動器
- 移除危險模式
- 拼寫錯誤修正
- 提供智能加密/解密器 避免使用失誤
- 刪除多餘的加密/解密方法
- 修復有安全校驗的nested-lib在不加密其內部資源狀況下啓動時也沒法經過校驗的問題
- 去除命令啓動和手輸密碼啓動的方式只保留Go啓動器的模式
- 增長可讀性更強的Fluent風格的加密/解密API
- 2.0.9
- 修復XJar類加載器加載的類沒有 ProtectionDomain 以及 CodeSource 的問題
- 去除版本號前置的"v"
- v2.0.7
- 修復不一樣字符集機器間加密與運行的問題
- v2.0.6
- 解決多jar包啓動時沒法找到準確的MANIFEST.MF致使沒法正常啓動的問題
- v2.0.5
- 升級LoadKit依賴版本
- 修復ANT表達式沒法正確匹配**/*通配符的問題
- v2.0.4
- 解決危險模式不支持ubuntu系統的問題
- v2.0.3
- 過濾器泛型協變支持
- xjar-maven-plugin 支持 includes 與 excludes 同時起效, 當同時設置時即加密在includes範圍內但又不在excludes範圍內的資源
- v2.0.2
- 原生jar增長密鑰文件的啓動方式, 解決相似 nohup 和 javaw 的後臺啓動方式沒法經過控制檯輸入密碼的問題
- v2.0.1
- 增長密鑰文件的啓動方式, 解決相似 nohup 和 javaw 的後臺啓動方式沒法經過控制檯輸入密碼的問題
- 修復解密後沒有刪除危險模式中在MANIFEST.MF中保留的密鑰信息
- v2.0.0
- 支持內嵌JAR包資源的過濾加解密
- 不兼容v1.x.x的過濾器表達式, 統一採用相對於 classpath 資源URL的過濾表達式
- v1.1.4
- 支持 Spring-Boot 以ZIP方式打包, 即依賴外部化方式啓動.
- 修復無加密資源時沒法啓動問題
- v1.1.3
- 實現危險模式加密啓動, 即不須要輸入密碼!
- 修復沒法使用 System.console(); 時用 new Scanner(System.in) 替代.
- v1.1.2
- 避免用戶因爲過濾器使用不當形成沒法啓動的風險
- v1.1.1
- 修復bug
- v1.1.0
- 整理目錄結構
- 增長正則表達式/Ant表達式過濾器和「非」(!)邏輯運算過濾器
- 將XEntryFilters工具類整合在XKit類中
- 缺省過濾器狀況下Spring-Boot JAR包加密的資源只限定在 BOOT-INF/classes/ 下
- v1.0.9
- 修復對Spring-Boot 版本依賴的bug
- v1.0.8
- 支持以Maven插件方式集成
- v1.0.7
- 將sprint-boot-loader依賴設爲provide
- 將XEntryFilter#filter(E entry); 變動爲XEntryFilter#filtrate(E entry);
- 將Encryptor/Decryptor的構造函數中接收多個過濾器參數變成接收一個, 外部提供XEntryFilters工具類來實現多過濾器混合成一個, 避免框架自身的邏輯限制了使用者的過濾邏輯實現.
- v1.0.6
- 採用LoadKit做爲資源加載工具
- v1.0.5
- 支持並行類加載, 須要JDK1.7+的支持, 可提高多線程環境類加載的效率
- Spring-Boot JAR 包加解密增長一個安全過濾器, 避免無關資源被加密形成沒法運行
- XBoot / XJar 工具類中增長多個按文件路徑加解密的方法, 提高使用便捷性
- v1.0.4 小優化
- v1.0.3 增長Spring-Boot的FatJar加解密時的缺省過濾器, 避免因爲沒有提供過濾器時加密後的JAR包不能正常運行.
- v1.0.2 修復中文及空格路徑的問題
- v1.0.1 升級detector框架
- v1.0.0 第一個正式版發佈
協議聲明
Apache-2.0apache
加入羣聊
QQ 950956093 ubuntu