背景需求

客户想私有化部署我的产品，但是预算不足，所以只给jar包不给源码；但是jar依然有反编译的风险，比如springboot项目打包为jar包后，可以通过 https://www.decompiler.com/ 反编译出部分源码，有源码泄露风险。所以需要对jar加密之后再交付给客户。

反编译

通过在 https://www.decompiler.com/ 上传打包后的jar包，该网站能自动反编译并下载反编译后的压缩包。

解压之后发现源码和目录结构一览无余，这可万万使不得，这个jar包可不敢给出去。

加密

 有一个很方便的工具：  https://gitee.com/roseboy/classfinal ，可以直接对jar包加密。

进入仓库，下载工具到本地

然后根据仓库的指示，加密本地jar文件。比如我的相关信息如下。

需要加密的文件：/home/zemelee/code/qe-web/qe.jar

加密的包：com.example.qe  密码随意，那我的命令就可以如下。

java -jar classfinal-fatjar-1.2.1.jar -file /home/zemelee/code/qe-web/qe.jar -packages com.example.qe -pwd qe

然后就会生成一个新的jar包。再用之前的反编译工具测试一下，反编译出来的文件虽然有目录结构，但是方法体里面的代码是不见了的，只有方法名和参数。

此时再根据以下命令就可以直接跑起来加密后的jar包了。（记得指定yml文件）

java -javaagent:qe-2-encrypted.jar='-pwd qe' -jar qe-2-encrypted.jar --spring.config.location=file:./application.yml