如何用ClassFinal加密JAR保护知识产权！

0.前言

凌晨三点的办公室，咖啡杯底凝着褐色的残渍，键盘上跳跃的手指突然停滞。张工程师盯着屏幕上的反编译窗口，自己耗时三个月开发的规则引擎此刻像被解剖的标本般赤裸裸摊开——这正是上周交付给客户的jar包。当.class文件以伪代码形式暴露在逆向工具中时，玻璃幕墙外的城市灯火突然变得刺眼，后颈渗出的冷汗沾湿了衣领。

这不是电影里的黑客场景，而是发生在昌平区某科技园的日常事故。我们常陷入一个认知误区：编译后的Java字节码如同密封的保险箱。实际上任何掌握JD-GUI工具的人，都能像拆解乐高积木般窥探技术实现，这让多少深夜调试的算法、反复打磨的业务逻辑面临着"技术裸奔"的风险。

某电商平台的遭遇颇具警示意义。其核心的优惠券风控系统遭离职员工反编译后，市面上三个月内出现了六个仿制系统。更讽刺的是，这些山寨产品在开源社区被二次传播时，原始注释中的"版权所有"字样仍清晰可见。这种技术资产的流失，往往比财务报表上的数字更触目惊心。

在数字技术渗透到各行各业的今天，软件开发者捧着代码熬夜修改的每一个字符都凝结着智慧结晶。某中型科技公司的CTO张航曾向我展示后台数据：他们耗时两年研发的供应链管理系统，上线三个月内就被竞争对手完整复刻，连代码注释里的错别字都原封不动——这种黑色幽默般的侵权事件，正让越来越多的开发者开始寻找代码保护的终极解法。

1.背景

最近要将项目部署到其它公司的服务器上，但是呢，又不想要将自己的源码给泄露出去， 要求对正式环境的启动包进行安全性的处理，从而防止客户直接通过反编译工具将代码给反编译出来。

ClassFinal是一款Java class文件安全加密工具，支持直接加密jar包或war包， 无需修改任何项目代码，兼容spring-framework，可避免源码泄漏或字节码被反编译。这样实现的效果就是class文件只能看到注解、 方法名和参数，方法内容被清空。

2.使用方法

只需要在启动类的pom.xml文件中添加如下插件即可， 但是这里有一个注意点：ClassFinal插件要放在spring-boot-maven-plugin插件的后面，否则不起作用。

<plugin>
      <groupId>net.roseboy</groupId>
      <artifactId>classfinal-maven-plugin</artifactId>
      <version>1.2.1</version>
      <configuration>
        <password>123456</password>              <!--启动密码，#为空，可以将密码设置为空-->
        <excludes>org.spring</excludes>
        <packages>${groupId}</packages>     <!--需要加密的包名，有多个使用逗号分隔-->
        <cfgfiles>application.properties</cfgfiles>     <!--需要加密的配置文件，有多个使用逗号分隔-->
        <libjars>hutool-all-5.8.26.jar</libjars>        <!--jar包lib目录下要加密的jar依赖，有多个使用逗号分隔-->
        <code></code>                       <!--机器码，指定某个机器启动-->
      </configuration>
      <executions>
        <execution>
          <phase>package</phase>
          <goals>
            <goal>classFinal</goal>
          </goals>
        </execution>
      </executions>
    </plugin>

添加完插件以后，更新一下pom文件就可以install打包了

打包完成后target目录下的xxx-encrypted.jar就是加密之后的jar包了。

3.jar包启动

无密码启动如下：

java -javaagent:xxxxx-encrypted.jar -jar xxxxx-encrypted.jar

有密码启动如下：

 java -javaagent:xxxxx-encrypted.jar='-pwd 密码' -jar xxxxx-encrypted.jar

使用浏览器测试请求测试接口均无问题

4.jar包内容对比

配置文件成功处理，打开显示为空

测试接口对比：处理过的，注释没有了，同时返回值也做了处理。

某跨境电商平台的技术团队曾进行过对比测试：使用通用加密工具后系统性能下降23%，而切换ClassFinal后仅产生2%的损耗。

5.其他加密方式

设置executable为true 无法直接通过解压包打开，在windows上部署的时候，也能有效阻挡一部分用户。

设置方法如下：

<plugin>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
        <version>2.2.5.RELEASE</version>
        <configuration>
          <!-- 配置打完jar包后，启动主类 -->
          <mainClass>com.gwh.AppIprJarApplication</mainClass>
          <!-- 跳过测试 -->
          <skip>false</skip>
          <!-- linux 部署时，像执行某个sh/服务那样运行jar，发现存在其他作用，使用windows部署时不能用解压工具打开-->
          <executable>true</executable>
        </configuration>
        <executions>
          <execution>
            <goals>
              <goal>repackage</goal>
            </goals>
          </execution>
        </executions>
      </plugin>

点击install打号jar包，然后解压缩的时候就提示如下：

executable设置成true作用是：如果你想在unix/linux上，像执行某个sh/服务那样运行jar，就需要把你的app打包成executable的jar。

无法解压的原因：完全可执行 的 jar/war 在文件前面嵌入了个 额外的脚本，这就使得有些命令会执行失败，比如 jar -xf 等。这就是为什么解压工具无法解压的原因。

所以，如果你的jar是通过【java -jar】执行、或 放在servlet容器中执行，那么建议将executable设置为false。

6.最后

技术创新不应是冒险者的游戏。当我们在键盘上敲下每行代码时，那些灵光乍现的算法、精妙设计的架构，都值得被妥善守护。ClassFinal不只是在加密字节码，更是在为创新火种修筑防风的围墙。在这个代码即财富的时代，知识产权的保护早已不是选择题，而是技术人必须完成的必答题——因为每一行未被窃取的代码，都可能孕育着改变世界的力量。