参考 https://www.jianshu.com/p/8f6c72def69d 做了一下基于 maven 的代码混淆,遇到两个问题:

文件名或扩展名太长

这个问题的原因是应用依赖过多,依赖的 jar 都放在了命令行中,导致命令过长,超过了最大长度,在 win 上是 256。

解决方法,在maven插件配置中加入下面的配置:

<putLibraryJarsInTempDir>true</putLibraryJarsInTempDir>

这个选项会将依赖放入一个临时目录中。

打包后工程启动失败

这个问题主要是 spring 的原因,代码混淆后变量名称变更,原本依赖变量名去注入 bean 的会报错。

修改混淆配置文件属性即可:

-keepdirectories
-keepclassmembers public class * {
    void set*(***);*** get*();
    @org.springframework.beans.factory.annotation.Autowired *;
    @org.springframework.beans.factory.annotation.Value *;
}

配置参考:guardsquare.com/en/products/proguard/manual/usage

完整配置文件

maven:

<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.2.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 指定使用插件的混淆功能 -->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!-- 指定生成文件分类 -->
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    <proguardInclude>${basedir}/proguard.conf</proguardInclude>
                    <putLibraryJarsInTempDir>true</putLibraryJarsInTempDir>
                    <libs>
                        <lib>${java.home}/lib/rt.jar</lib>
                        <lib>${java.home}/lib/jce.jar</lib>
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,不可能对配置文件及JSP混淆吧-->
                    <injar>classes</injar>
                    <outjar>${project.build.finalName}-pg.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>
                    <!--<exclusions>
                        <exclusion>
                            <groupId>p2.eclipse-plugin</groupId>
                            <artifactId>org.apache.geronimo.specs.geronimo-jms_1.1_spec</artifactId>
                        </exclusion>
                    </exclusions>-->
                </configuration>

            </plugin>

proguard.conf

# 忽略所有警告,否则有警告的时候混淆会停止
-ignorewarnings

-keepdirectories

# JDK目标版本1.8
-target 1.8

# 不做收缩(删除注释、未被引用代码)
-dontshrink

# 不做优化(变更代码实现逻辑)
-dontoptimize

# 不路过非公用类文件及成员
-dontskipnonpubliclibraryclasses
-dontskipnonpubliclibraryclassmembers

# 优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodification

# 确定统一的混淆类的成员名称来增加混淆
-useuniqueclassmembernames

# 不混淆所有包名,本人测试混淆后WEB项目问题实在太多,毕竟Spring配置中有大量固定写法的包名
-keeppackagenames

# 不混淆局部变量名
-keepparameternames

# 不混淆所有特殊的类 LocalVariable*Table,
-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,Synthetic,EnclosingMethod

# 不混淆包下的所有类名
-keep class weg.base.** { <methods>; }
-keep class weg.service.** { <methods>; }
-keep class weg.dao.** { <methods>; }
-keep class weg.util.** { <methods>; }

# 不混淆quartz包下的所有类名,且类中的方法也不混淆
-keep class weg.quartz.** { <methods>; }

# 不混淆model包中的所有类以及类的属性及方法,实体包,混淆了会导致ORM框架及前端无法识别
-keep class weg.model.** {*;}

# 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射
-keepclassmembers public class * {
    void set*(***);*** get*();
    @org.springframework.beans.factory.annotation.Autowired *;
    @org.springframework.beans.factory.annotation.Value *;
}

# 保持类protected不被混淆
-keep public class * { public protected <fields>;public protected <methods>; }