首页 > 其他分享 >Springboot 加密方案探讨

Springboot 加密方案探讨

时间:2023-10-14 17:56:55浏览次数:42  
标签:三方 反编译 加密 Springboot jar 探讨 解密 jadx

背景

toB 的本地化 java 应用程序,通常是部署在客户机器上,为了保护知识产权,我们需要将核心代码(例如 Lience,Billing,Pay 等)进行加密或混淆,防止使用 jadx 等工具轻易反编译。同时,为了更深层的保护程序,也要防止三方依赖细节被窥探;

业界方案

  1. ProGuard
    • 简介:开源社区有名的免费混淆工具,相较于字节码加密,对性能基本无影响;
    • 优势:打包阶段混淆字节码,各种变量方法名都变成了abcdefg 等等无意义的符号,字节码可被反编译,但几乎无法阅读,通常被 Android App 用来防止逆向;
    • 不足1:只能混淆部分代码,打包阶段较为耗时,对于三方包混淆,并没有什么好办法。
    • 不足2:混淆后的代码,会影响 arthas 工具的使用,导致排查问题变慢。
    • 不足3:配置比较复杂,曾经在我司 T 项目上用过,令人眼花缭乱。
    • 不足4:无法加密三方依赖所有信息;
  2. jar-protect
    • 简介:一款国人开发的 springboot jar 加密工具;需要配合 javaagent 解密;
    • 优势:打包阶段使用 javassist 重写 class 文件;jadx 反编译后看到的都是空方法。反编译后只能看到类信息和方法签名,无法看到具体内容。
    • 不足1:使用 DES 方案,对于几百个三方 jar 的场景,加密手段过重,且加密后的不够完整;
    • 不足2:类文件放在一个目录(META-INF/.encode/),非常容易类冲突;
    • 不足3:无法加密三方依赖所有信息;
  3. GraalVM
    • 简介:Oracle GraalVM 提前将 Java 应用程序编译为独立的二进制文件。与在 Java 虚拟机 (JVM) 上运行的应用程序相比,这些二进制文件更小,启动速度提高了 100 倍,无需预热即可提供峰值性能,并且使用的内存和 CPU 更少, 并且无法反编译。
    • 不足:无法支持我司业务程序框架。
  4. core-lib/xjar
    • 简介:国人开源的,基于 golang 的加密工具。使用 maven 插件加密,启动时 golang 解密;性能影响未知。
    • 优势:可对所有 class 文件加密。
    • 不足1: 加密后 jar 文件体积翻倍;
    • 不足2:依赖 golang 编译,依赖 golang 启动;
    • 不足3:无法加密三方依赖所有信息;
    • 不足4:开源项目,3年未有新提交。

思考:

我们的需求到底是什么?a:保护知识产权。具体手段为:

  1. 对本司项目代码进行加密,使其无法被 jadx 工具轻易反编译,
  2. 对本司三方依赖进行加密,使其无法窥探我司三方依赖细节;

但上面的几个项目,基本都是围绕着 class 加密(除了GraalVM),这无法实现我们的第二个需求。

我们的方案

设计目标:

  1. 将项目三方依赖 jar 进行加密,使其无法使用 jadx 反编译,但运行时会生成解密后的临时文件。
  2. 将项目本身的 class 进行加密,使其无法使用 jadx 反编译运行时解密后的文件。
  3. 加密策略要灵活,轻量,对启动速度,包体积,内存消耗,接口性能的影响要控制在 5% 以内;

设计方案:

  1. 加密时,使用 maven 打包工具,repackage fat jar;将其内部 lib 目录的依赖进行加密;使 jadx 无法反编译;
  2. 加密时,对于核心业务代码,使用 javassist 工具将其重写,清空方法体,重置属性值;
  3. 解密jar时,将指定目录的 加密包 解密 到指定目录,并将其放入 springboot classloader classpath 里。
  4. 解密class时,agent 配合判断是否是加密 class,如果是,则寻找加密 class 文件,找到后解密,返回解密后的 classBytes。

逻辑如下:

注意点:

  1. javassist 重写方法体时,需要将 lib 里的所有代码都加入 classpool 的 classpath 里。
  2. javassist 加密后的类,需将其放入到当前 lib 的单独目录进行个例,防止类冲突。
  3. agent 解密要轻量,不能影响程序性能;
  4. 三方包的加解密重新打包后,jar 顺序发生变化,较小可能会导致类冲突(比如 log4j)。需要在测试环境验证,如果存在冲突,则需要排包。

End

通过以上方案,我们实现了一个极其轻量的 maven 加密,agent 解密插件。他能够将三方包彻底加密,使 jadx 等工具无法反编译 ,屏蔽我们的三方依赖细节,同时,该插件也可以加密我们的业务 class 代码,使 jadx 无法反编译运行时生成的代码,从而一定程度的保护我们的知识产权;

另外,私有的加密算法,在性能,体积,内存等方便的影响都控制在 5% 以内。

为了防止混淆后的代码影响 arthas 的使用和 bug patch 的应用,我们放弃了混淆方案,只能说是一种权衡与取舍吧。

从软件防破解的角度来理解,通常只能是加大破解的难度,铁了心想要破解的话,就算是 ProGuard 混淆,也无法解决。也许只能用 GraalVM,但不是每一个客户都会用这个。

推荐

Java 扩展点/插件系统,支持热插拔,旨在解决大部分软件的功能定制问题

标签:三方,反编译,加密,Springboot,jar,探讨,解密,jadx
From: https://www.cnblogs.com/stateis0/p/17764470.html

相关文章

  • 测试springboot项目苍穹外卖,解决websocket“服务器错误,无法接收实时报警信息”问题
    使用IDEA启动springboot项目苍穹外卖后,http://localhost:8071/能够正常访问登录,但是网页右上角始终显示“服务器错误,无法接收实时报警信息”: 在网上搜索找到:https://blog.csdn.net/qq_65032048/article/details/132077097,发现可能是修改了nginx端口号为8071导致。解决办法:在n......
  • springboot启动时缓存数据
    一、Emos系统的常量数据在sys_config数据表中保存了Emos系统的常量配置信息,其中就包括了考勤部分的常量信息。例如每天上班考勤从几点开始,截止到几点。下班考勤从几点开始,几点结束。 因为这些常量信息跟考勤模块息息相关,所以我们要编写Java代码,在SpringBoot项目启动的......
  • Springboot中使用RabbitMq
    代码地址:https://gitee.com/Aes_yt/middleware-demo/tree/master/rabbitmq安装RabbitMq1.docker拉取镜像dockerpullrabbitmq:3.9.29-management2.创建rabbitmq容器dockerrun-d--namerabbitmq-p5672:5672-p15672:15672rabbitmq:3.9.29-management3.访问地......
  • postman如何使用md5 、base64加密传参
    使用CryptoJS库什么是CryptoJS?CryptoJS是一个纯JavaScript实现的加密库,提供了很多常见的加密算法和加密模式,例如AES、DES、TripleDES、MD5、SHA-1、SHA-256等。它支持的加密方式很全面,使用简便,而且在前端中使用也非常方便postman在Pre-requestScript中先进行加密,然后设置全局......
  • JS加密/解密之webpack打包代码逆向
    Webpack是一个强大的打包工具,能够将多个文件打包成一个或多个最终的文件。然而,将已经经过打包的代码还原回原始源代码并不是一件直接的事情,因为webpack打包的过程通常会对代码进行压缩、混淆和优化,丢失了部分变量名和代码结构的信息。因此,完全还原打包前的源码可能并不现实。但......
  • Exception in thread "main" java.security.InvalidKeyException: Wrong key size问题
    问题描述在Java里面使用DES加密算法,然后就爆出这个错误:问题解决换用了另外一种加密解密的函数:SecretKeySpec;即将原来的这种:换成了这种:我是觉得使用DES加密算法时,它一直显示key的字节长度不对,就想着换一种表述方式,又看到了别的友友的经验分享,就换成这样试了试(直接放进mai......
  • 在Eclipse将Java代码打包为jar用于jmeter BeanShell(HMAC_SHA1)加密
    Eclipse代码importjavax.crypto.Mac;importjavax.crypto.SecretKey;importjavax.crypto.spec.SecretKeySpec;importjava.nio.charset.StandardCharsets;importjava.security.InvalidKeyException;importjava.security.NoSuchAlgorithmException;publicclassHMAC_data......
  • 渗透测试高级技巧(二):对抗前端动态密钥与非对称加密防护
    在前文的技术分享中,我们描述了验签和静态对称加密(静态密钥AES)的常见场景,大家我相信遇到类似的加解密清醒,基本都可以通过热加载的基本使用获得破解前端加密解密的方法,达到一个比较好的测试状态。在本文中,我们在保持同样的通用适配度的同时,将会来接触更加复杂的前端加密与解密场......
  • 深入探讨 C# 和 .NET 中 async/await 的历史、背后的设计决策和实现细节
    前言对`async/await`的支持已经存在了十多年。它的出现,改变了为.NET编写可伸缩代码的方式,你在不了解幕后的情况下也可以非常普遍地使用该功能。从如下所示的同步方法开始(此方法是“同步的”,因为在整个操作完成并将控制权返回给调用方之前,调用方将无法执行任何其他操作)://Syn......
  • js-base64加密解密
    下载安装npmi-Sjs-base64加密使用:Base64.encode('我是一段需要处理的字符')。解密使用:Base64.decode('5oiR5piv5LiA5q616ZyA6KaB5aSE55CG55qE5a2X56ym')使用引用import{Base64}from'js-base64'加密Base64.encode('我是一段需要处理的字符')解密Base64.dec......