java程序的源代碼很容易被別人偷看，只要有一個反編譯器，任何人都可以分析別人的代碼。本文討論如何在不修改原有程序的情況下，通過加密技術保護源代碼。

一、為什么要加密?

對于傳統的c或c++之類的語言來說，要在web上保護源代碼是很容易的，只要不發布它就可以。遺憾的是，java程序的源代碼很容易被別人偷看。只要有一個反編譯器，任何人都可以分析別人的代碼。java的靈活性使得源代碼很容易被竊取，但與此同時，它也使通過加密保護代碼變得相對容易，我們唯一需要了解的就是java的classloader對象。當然，在加密過程中，有關java cryptography extension(jce)的知識也是必不可少的。

有幾種技術可以“模糊”java類文件，使得反編譯器處理類文件的效果大打折扣。然而，修改反編譯器使之能夠處理這些經過模糊處理的類文件并不是什么難事，所以不能簡單地依賴模糊技術來保證源代碼的安全。

我們可以用流行的加密工具加密應用，比如pgp(pretty good privacy)或gpg(gnu privacy guard)。這時，最終用戶在運行應用之前必須先進行解密。但解密之后，最終用戶就有了一份不加密的類文件，這和事先不進行加密沒有什么差別。

java運行時裝入字節碼的機制隱含地意味著可以對字節碼進行修改。jvm每次裝入類文件時都需要一個稱為classloader的對象，這個對象負責把新的類裝入正在運行的jvm。jvm給classloader一個包含了待裝入類(比如java.lang.object)名字的字符串，然后由classloader負責找到類文件，裝入原始數據，并把它轉換成一個class對象。

我們可以通過定制classloader，在類文件執行之前修改它。這種技術的應用非常廣泛??在這里，它的用途是在類文件裝入之時進行解密，因此可以看成是一種即時解密器。由于解密后的字節碼文件永遠不會保存到文件系統，所以竊密者很難得到解密后的代碼。

由于把原始字節碼轉換成class對象的過程完全由系統負責，所以創建定制classloader對象其實并不困難，只需先獲得原始數據，接著就可以進行包含解密在內的任何轉換。

java 2在一定程度上簡化了定制classloader的構建。在java 2中，loadclass的缺省實現仍舊負責處理所有必需的步驟，但為了顧及各種定制的類裝入過程，它還調用一個新的findclass方法。

這為我們編寫定制的classloader提供了一條捷徑，減少了麻煩：只需覆蓋findclass，而不是覆蓋loadclass。這種方法避免了重復所有裝入器必需執行的公共步驟，因為這一切由loadclass負責。

不過，本文的定制classloader并不使用這種方法。原因很簡單。如果由默認的classloader先尋找經過加密的類文件，它可以找到;但由于類文件已經加密，所以它不會認可這個類文件，裝入過程將失敗。因此，我們必須自己實現loadclass，稍微增加了一些工作量。

二、定制類裝入器

每一個運行著的jvm已經擁有一個classloader。這個默認的classloader根據classpath環境變量的值，在本地文件系統中尋找合適的字節碼文件。

應用定制classloader要求對這個過程有較為深入的認識。我們首先必須創建一個定制classloader類的實例，然后顯式地要求它裝入另外一個類。這就強制jvm把該類以及所有它所需要的類關聯到定制的classloader。listing 1顯示了如何用定制classloader裝入類文件。

【listing 1：利用定制的classloader裝入類文件】

如前所述，定制classloader只需先獲取類文件的數據，然后把字節碼傳遞給運行時系統，由后者完成余下的任務。

classloader有幾個重要的方法。創建定制的classloader時，我們只需覆蓋其中的一個，即loadclass，提供獲取原始類文件數據的代碼。這個方法有兩個參數：類的名字，以及一個表示jvm是否要求解析類名字的標記(即是否同時裝入有依賴關系的類)。如果這個標記是true，我們只需在返回jvm之前調用resolveclass。

【listing 2：classloader.loadclass()的一個簡單實現】

共3頁: 上一頁 1 [2] [3] 下一頁