深度揭秘！Java Class 文件加密终极指南，有效保护你的核心代码

lyb-geek

发布于 2025-06-15 11:39:36

5880

在程序员的世界里，核心代码就是我们的 “秘密武器”。有一次聚餐，朋友满脸愁容地跟我倾诉，他接了个私单，满心欢喜地投入开发，可临近交付却犯了难 —— 既想让项目顺利运行，又不想把核心代码拱手让人。这可怎么办？从技术层面来讲，就是要对源码进行混淆或者加密处理。我之前写过一篇关于代码混淆的文章，反响还不错。今天，咱们就来深入探讨另一个至关重要的话题 —— 如何利用 ClassFinal 对 Java 代码进行加密，让你的代码安全无虞！

一、ClassFinal：Java 代码的安全卫士

ClassFinal简介

ClassFinal 是一款专为 Java class 文件打造的安全加密工具，堪称 Java 开发者的福音。它强大到什么程度呢？无需对项目代码进行任何修改，就能直接加密 jar 包或 war 包，而且与 spring-framework 完美兼容，从根本上杜绝源码泄漏和字节码被反编译的风险，为你的代码保驾护航。

gitee地址：

https://gitee.com/roseboy/classfinal

功能特性

零代码修改：只需把编译好的 jar/war 包交给 ClassFinal，就能轻松完成加密，无需对原项目代码进行任何改动，真正做到了简单快捷。
运行环境零负担：运行加密项目时，完全不需要修改 tomcat、spring 等的源代码，让你的项目部署更加顺畅。
广泛的项目支持：无论是普通 jar 包、springboot jar 包，还是普通 java web 项目编译的 war 包，ClassFinal 都能完美应对。
框架兼容性强：对 spring framework、swagger 等在启动过程中需要扫描注解或生成字节码的框架提供了良好的支持，确保你的项目正常运行。
Maven 插件加持：集成了 maven 插件，添加插件后，在打包过程中就能自动完成加密，大大提高开发效率。
依赖 jar 包加密：支持对 WEB-INF/lib 或 BOOT-INF/lib 下的依赖 jar 包进行加密，全方位保护你的项目。
机器绑定功能：项目加密后可以绑定特定机器，只有在指定机器上才能运行，进一步增强了安全性。
配置文件加密：连 springboot 的配置文件也能一并加密，让你的项目配置信息也得到妥善保护。

项目模块说明

classfinal-core: ClassFinal的核心模块，几乎所有加密的代码都在这里；
classfinal-fatjar: ClassFinal打包成独立运行的jar包，方便你随时随地使用；
classfinal-maven-plugin: ClassFinal加密的maven插件，为项目加密提供了更加便捷的方式；

二、实战操作：如何使用 ClassFinal 加密代码

加密操作

方法一 使用classfinal-fatjar.jar

只需执行以下命令，就能轻松完成加密：

java -jar classfinal-fatjar.jar -file yourproject.jar -libjars a.jar,b.jar -packages com.yourpackage,com.yourpackage2 -exclude com.yourpackage.Main -pwd-Y

参数说明

-file        加密的jar/war完整路径
-packages    加密的包名(可为空,多个用","分割)
-libjars     jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles    需要加密的配置文件，一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude     排除的类名(可为空,多个用","分割)
-classpath   外部依赖的jar目录，例如/tomcat/lib(可为空,多个用","分割)
-pwd         加密密码，如果是#号，则使用无密码模式加密
-code        机器码，在绑定的机器生成，加密后只可在此机器上运行
-Y           无需确认，不加此参数会提示确认以上信息

方法二： 使用classfinal-maven-plugin插件

在项目pom配置classfinal-maven-plugin插件

<plugin>
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password></password>               <!--加密密码，如果是#号，则使用无密码模式加密-->
                    <packages>*</packages>                              <!--加密的包名(可为空,多个用","分割)-->
                    <cfgfiles>*.yml</cfgfiles>                          <!--需要加密的配置文件，一般是classes目录下的yml或properties文件(可为空,多个用","分割)-->
                    <!--<libjars>oneclickedcrypt-1.0-SNAPSHOT.jar</libjars>--><!--jar/war包lib下要加密jar文件名(可为空,多个用","分割)-->
                    <!--<cfgpasspath>/etc/.env</cfgpasspath>-->         <!--密码文件路径，可为空，默认 /etc/.env-->
                    <!--<excludes>com.Test</excludes>-->                <!--排除不需要加密的文件-->
                    <!--<classpath></classpath>-->                      <!--外部依赖jarlib-->
                   <!-- <debug>true</debug> -->                    <!--调试模式，打印debug日志-->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

运行mvn package时会在target下自动加密生成yourproject-encrypted.jar，maven插件的参数名称与直接运行的参数相同

注：加密时-pwd参数设为#，启动时可不用输入密码；如果是war包，启动时指定参数 -nopwd，跳过输密码过程。

加密后的效果对比

加密前：

@RestController
@RequestMapping("user")
@RequiredArgsConstructor
@Slf4j
publicclass UserController {

    privatefinal UserService userService;



    @GetMapping("list")
    public List<User> list(){
        return userService.list();

    }

}

加密后：

@RestController
@RequestMapping("user")
@RequiredArgsConstructor
@Slf4j
publicclass UserController {
    privatestaticfinal Logger log = LoggerFactory.getLogger(UserController.class);
    privatefinal UserService userService;

    @GetMapping({"list"})
    public List<User> list() {
        returnnull;
    }
    }

可以看到，加密后方法体被清空，只保留了方法参数、注解等信息，有效保护了核心代码。

加密前： yml文件内容

加密后： yml文件内容

加密后，yml文件内容会被清空，保护了配置文件中的敏感信息。

启动加密后的jar

加密后的项目需要设置javaagent来启动，项目在启动过程中解密class，完全内存解密，不留下任何解密后的文件。

解密功能已经自动加入到 yourproject-encrypted.jar中，所以启动时-javaagent与-jar相同，不需要额外的jar包。

启动jar项目执行以下命令：

java -javaagent:yourproject-encrypted.jar='-pwd 123456' -jar yourproject-encrypted.jar

//参数说明
// -pwd 加密项目的密码 
// -pwdname 环境变量中密码的名字

重要提示： 该工具使用 AES 算法加密 class 文件，密码是保证不被破解的关键，请务必妥善保存密码，切勿泄漏。密码一旦忘记，项目不可启动且无法恢复，请牢记密码！另外，为了保证项目在运行时的安全，启动 jvm 时请加参数：-XX:+DisableAttachMechanism。

总结与拓展

本文详细介绍了如何利用 ClassFinal 对 Java 代码进行加密，这个工具使用起来非常简单，大大降低了代码加密的门槛。不过有点可惜，这个项目目前已经不再维护。但别担心，有其他热心网友基于 ClassFinal 进行了改造，开源了 class-winter，感兴趣的朋友可以查看如下网址：

https://gitee.com/JustryDeng/class-winter

demo链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-encrypt

代码安全是每一位开发者都必须重视的问题，希望本文能为你在代码安全防护的道路上提供有力的支持和帮助。如果你在使用过程中有任何疑问、心得或者建议，

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2025-06-14，如有侵权请联系 cloudcommunity@tencent.com 删除

java

本文分享自 Linyb极客之路微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度