為啥子要混淆
簡單來說魁蒜,Android 進行ProGuard操刀,可以起到壓縮烁挟,混淆,預(yù)檢骨坑,優(yōu)化的功能撼嗓,雖然不能說更安全但還是一個不容忽視的環(huán)節(jié)。
開始混淆第一步
首先在build.gradle 中將混淆的開關(guān)打開欢唾,即 minifyEnabled 置為 true
image
然后就要去proguard-rules.pro寫入我們的混淆的規(guī)則(如文件其名)且警,防止重要的類被混淆移除了。
先特別介紹的是與防止類被混淆的的幾條指令:
| 命令 | 作用 |
|---|---|
| -keep | 防止類和成員被移除或者被重命名 |
| -keepnames | 防止類和成員被重命名 |
| -keepclassmembers | 防止成員被移除或者被重命名 |
| -keepclasseswithmembers | 防止擁有該成員的類和成員被移除或者被重命名 |
| -keepclasseswithmembernames | 防止擁有該成員的類和成員被重命名 |
快速混淆礁遣?
省事第一步斑芜,先套個模板,就是找到網(wǎng)上博客上別人分享好的模板祟霍,像四大組件杏头,主流開源庫,JNI調(diào)用本地方法浅碾,R資源等的混淆規(guī)則都一般有了大州,注意一點就是套模板,也要套個時間比較近的垂谢,沒有翻車的模板厦画,可以能比較節(jié)省自己的時間,畢竟這么多行不一定能快速看出來,打個包出來才發(fā)現(xiàn)有問題就尷尬啦根暑。
一般來說力试,用了混淆的模板后,我們還會有很多項目專屬的需要混淆的部分排嫌,例如我們的自定義View畸裳,Json解析的實體類,反射用到的類淳地,還有我們依賴的非主流的開源框架怖糊,SDK等等。
對于自定義View颇象,很多的模板都會將繼承與View的類用keep指令防止被混淆伍伤。有個偷懶的方法就是把自定義View 放入同一個包,再把這個包的類都寫入混淆規(guī)則遣钳,就可以搞定了扰魂。
對于Json解析的實體類,反射用到的類都是同理可得蕴茴,找到那些不能被移除的劝评,把它們寫入自己的混淆規(guī)則里面。
所以如果在做項目時倦淀,有提前想到要給項目做混淆的蒋畜,在導(dǎo)入依賴時就順手把對應(yīng)混淆規(guī)則寫了,那事后就快活似神仙了晃听。
如果依賴的非主流的開源庫作者沒提及有關(guān)混淆的東西百侧,demo里也沒找到砰识,怎么辦能扒?
首先,先判斷下它是否內(nèi)置了混淆規(guī)則辫狼。如果不聲明它的混淆規(guī)則也正常運行初斑,說明已經(jīng)它帶了混淆。
但是生活往往不會一帆風(fēng)順膨处,一般來說會有各種報錯见秤,所以還是需要對它聲明混淆。
最簡單的辦法就是找到依賴的這個包真椿,就這個包的類都寫入混淆規(guī)則鹃答。例如:
項目里導(dǎo)入了一個非主流的開源庫,然后我需要對它寫入混淆規(guī)則突硝,確保它能正常工作测摔。
implementation 'site.gemus:openingstartanimation:1.0.0'
這時候不可以認為直接去使用它的地方,將有關(guān)它 import的類 keep class 就可以。
image
因為可能它內(nèi)部還會使用包內(nèi)其他類锋八,所以最好仔細排查浙于,最簡(tou)單(lan)就是把這個包的類都 用 keep 指令,防止它們被混淆挟纱。如下所示:
image
一般來說就可以防止這個開源庫里的類被混淆了羞酗。
如果導(dǎo)入了SDK,官網(wǎng)沒有提及有關(guān)混淆的事項紊服,demo里也沒找到檀轨,怎么辦?
例如
image
先使用 -libraryjars 命令 欺嗤,對導(dǎo)入的jar包和 so 文件進行聲明保留它們裤园。
-libraryjars libs/Msc.jar
#-libraryjars libs/armeabi-v7a/libmsc.so
#-libraryjars libs/armeabi-v7a/libmsc.so
如果依舊出錯,嘗試去External library文件夾 或者使用 這個SDK的地方 找到這個 SDK的包找到剂府,并把這個包里的類 都用 keep 指令保持不被移除拧揽。如:
image
根據(jù)包名,寫入混淆規(guī)則
-keep class com.iflytek.**{*;}
-keepattributes Signature
一般來說腺占,這樣就可以避免這個SDK的類被混淆啦
模板時間
好了淤袜,最后附上一份自己做的項目的混淆規(guī)則(偽模板)
# 指定代碼的壓縮級別 0 - 7(指定代碼進行迭代優(yōu)化的次數(shù),在Android里面默認是5衰伯,這條指令也只有在可以優(yōu)化時起作用铡羡。)
-optimizationpasses 5
# 混淆時不會產(chǎn)生形形色色的類名(混淆時不使用大小寫混合類名)
-dontusemixedcaseclassnames
# 指定不去忽略非公共的庫類(不跳過library中的非public的類)
-dontskipnonpubliclibraryclasses
# 指定不去忽略包可見的庫類的成員
-dontskipnonpubliclibraryclassmembers
#不進行優(yōu)化,建議使用此選項意鲸,
-dontoptimize
# 不進行預(yù)校驗,Android不需要,可加快混淆速度烦周。
-dontpreverify
# 屏蔽警告
-ignorewarnings
# 指定混淆是采用的算法,后面的參數(shù)是一個過濾器
# 這個過濾器是谷歌推薦的算法怎顾,一般不做更改
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*
# 保護代碼中的Annotation不被混淆
-keepattributes *Annotation*
# 避免混淆泛型, 這在JSON實體映射時非常重要
-keepattributes Signature
# 拋出異常時保留代碼行號
-keepattributes SourceFile,LineNumberTable
#優(yōu)化時允許訪問并修改有修飾符的類和類的成員读慎,這可以提高優(yōu)化步驟的結(jié)果。
# 比如槐雾,當(dāng)內(nèi)聯(lián)一個公共的getter方法時夭委,這也可能需要外地公共訪問。
# 雖然java二進制規(guī)范不需要這個募强,要不然有的虛擬機處理這些代碼會有問題株灸。當(dāng)有優(yōu)化和使用-repackageclasses時才適用。
#指示語:不能用這個指令處理庫中的代碼擎值,因為有的類和類成員沒有設(shè)計成public ,而在api中可能變成public
-allowaccessmodification
#當(dāng)有優(yōu)化和使用-repackageclasses時才適用慌烧。
-repackageclasses ''
# 混淆時記錄日志(打印混淆的詳細信息)
# 這句話能夠使我們的項目混淆后產(chǎn)生映射文件
# 包含有類名->混淆后類名的映射關(guān)系
-verbose
# ----------------------------- 默認保留 -----------------------------
# 保持哪些類不被混淆
#繼承activity,application,service,broadcastReceiver,contentprovider....不進行混淆
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.support.multidex.MultiDexApplication
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep class android.support.** {*;}## 保留support下的所有類及其內(nèi)部類
-keep public class com.google.vending.licensing.ILicensingService
-keep public class com.android.vending.licensing.ILicensingService
#表示不混淆上面聲明的類,最后這兩個類我們基本也用不上鸠儿,是接入Google原生的一些服務(wù)時使用的屹蚊。
#----------------------------------------------------
# 保留繼承的
-keep public class * extends android.support.v4.**
-keep public class * extends android.support.v7.**
-keep public class * extends android.support.annotation.**
#表示不混淆任何包含native方法的類的類名以及native方法名,這個和我們剛才驗證的結(jié)果是一致
-keepclasseswithmembernames class * {
native <methods>;
}
#這個主要是在layout 中寫的onclick方法android:onclick="onClick",不進行混淆
#表示不混淆Activity中參數(shù)是View的方法淑翼,因為有這樣一種用法腐巢,在XML中配置android:onClick=”buttonClick”屬性,
#當(dāng)用戶點擊該按鈕時就會調(diào)用Activity中的buttonClick(View view)方法玄括,如果這個方法被混淆的話就找不到了
-keepclassmembers class * extends android.app.Activity{
public void *(android.view.View);
}
#表示不混淆枚舉中的values()和valueOf()方法冯丙,枚舉我用的非常少,這個就不評論了
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
#表示不混淆任何一個View中的setXxx()和getXxx()方法遭京,
#因為屬性動畫需要有相應(yīng)的setter和getter的方法實現(xiàn)胃惜,混淆了就無法工作了。
-keep public class * extends android.view.View{
*** get*();
void set*(***);
public <init>(android.content.Context);
public <init>(android.content.Context, android.util.AttributeSet);
public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclasseswithmembers class * {
public <init>(android.content.Context, android.util.AttributeSet);
public <init>(android.content.Context, android.util.AttributeSet, int);
}
#表示不混淆Parcelable實現(xiàn)類中的CREATOR字段哪雕,
#毫無疑問船殉,CREATOR字段是絕對不能改變的,包括大小寫都不能變斯嚎,不然整個Parcelable工作機制都會失敗利虫。
-keep class * implements android.os.Parcelable {
public static final android.os.Parcelable$Creator *;
}
# 這指定了繼承Serizalizable的類的如下成員不被移除混淆
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
# 保留R下面的資源
-keep class **.R$* {
*;
}
#不混淆資源類下static的
-keepclassmembers class **.R$* {
public static <fields>;
}
# 對于帶有回調(diào)函數(shù)的onXXEvent、**On*Listener的堡僻,不能被混淆
-keepclassmembers class * {
void *(**On*Event);
void *(**On*Listener);
}
# 保留我們自定義控件(繼承自View)不被混淆
-keep public class * extends android.view.View{
*** get*();
void set*(***);
public <init>(android.content.Context);
public <init>(android.content.Context, android.util.AttributeSet);
public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keep class com.example.odm.garbagesorthelper.widget.** { *; }
#
#----------------------------- WebView(項目中沒有可以忽略) -----------------------------
#
#webView需要進行特殊處理
#在app中與HTML5的JavaScript的交互進行特殊處理
#我們需要確保這些js要調(diào)用的原生方法不能夠被混淆糠惫,于是我們需要做如下處理:
#
#---------------------------------實體類---------------------------
#--------(實體Model不能混淆,否則找不到對應(yīng)的屬性獲取不到值)-----
#
-keep class com.example.odm.garbagesorthelper.model.entity.** { *; }
-dontwarn com.example.odm.garbagesorthelper.model.entity.**
#對含有反射類的處理
-keep class com.example.odm.garbagesorthelper.utils.** { *; }
#
# ----------------------------- 其他的 -----------------------------
#
# 刪除代碼中Log相關(guān)的代碼
-assumenosideeffects class android.util.Log {
public static boolean isLoggable(java.lang.String, int);
public static int v(...);
public static int i(...);
public static int w(...);
public static int d(...);
public static int e(...);
}
# 保持測試相關(guān)的代碼
-dontnote junit.framework.**
-dontnote junit.runner.**
-dontwarn android.test.**
-dontwarn android.support.test.**
-dontwarn org.junit.**
#
# ----------------------------- 第三方庫钉疫、框架硼讽、SDK -----------------------------
#logger
-dontwarn com.orhanobut.logger.**
-keep class com.orhanobut.logger.**{*;}
-keep interface com.orhanobut.logger.**{*;}
# Gson
-keep class com.google.gson.stream.** { *; }
-keepattributes EnclosingMethod
-dontwarn com.google.gson.**
-keep class com.google.gson.**{*;}
-keep interface com.google.gson.**{*;}
#gson
#如果用到Gson解析包的,直接添加下面這幾行就能成功混淆牲阁,不然會報錯固阁。
##---------------Begin: proguard configuration for Gson ----------
# Gson uses generic type information stored in a class file when working with fields. Proguard
# removes such information by default, so configure it to keep all of it.
-keepattributes Signature
# For using GSON @Expose annotation
-keepattributes *Annotation*
# Gson specific classes
-dontwarn sun.misc.**
#-keep class com.google.gson.stream.** { *; }
# Prevent proguard from stripping interface information from TypeAdapterFactory,
# JsonSerializer, JsonDeserializer instances (so they can be used in @JsonAdapter)
-keep class * implements com.google.gson.TypeAdapterFactory
-keep class * implements com.google.gson.JsonSerializer
-keep class * implements com.google.gson.JsonDeserializer
# Application classes that will be serialized/deserialized over Gso
# OkHttp3
-dontwarn okhttp3.logging.**
-keep class okhttp3.internal.**{*;}
-dontwarn okio.**
# Retrofit
-dontwarn retrofit2.**
-keep class retrofit2.** { *; }
#-keepattributes Signature-keepattributes Exceptions
# Platform calls Class.forName on types which do not exist on Android to determine platform.
-dontnote retrofit2.Platform
# Platform used when running on Java 8 VMs. Will not be used at runtime.
-dontwarn retrofit2.Platform$Java8
# Retain generic type information for use by reflection by converters and adapters.
-keepattributes Signature
# Retain declared checked exceptions for use by a Proxy instance.
-keepattributes Exceptions
# RxJava RxAndroid
-dontwarn sun.misc.**
-keepclassmembers class rx.internal.util.unsafe.*ArrayQueue*Field* {
long producerIndex;
long consumerIndex;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueProducerNodeRef {
rx.internal.util.atomic.LinkedQueueNode producerNode;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueConsumerNodeRef {
rx.internal.util.atomic.LinkedQueueNode consumerNode;
}
#LiveEventBus
-dontwarn com.jeremyliao.liveeventbus.**
-keep class com.jeremyliao.liveeventbus.** { *; }
-keep class androidx.lifecycle.** { *; }
-keep class androidx.arch.core.** { *; }
#glide
-keep public class * implements com.bumptech.glide.module.GlideModule
-keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** {
**[] $VALUES;
public *;
}
#utilcodex
-keep class com.blankj.utilcode.util.** { *; }
#
-keep class site.gemus.** { *; }
#XUI
-keep class com.xuexiang.xui.** { *; }
#訊飛SDK
-libraryjars libs/Msc.jar
-libraryjars src/main/jniLibs/Msc.jar
-keep class com.iflytek.**{*;}
-keepattributes Signature
#RxPermission
-keep class com.tbruyelle.rxpermissions2.** { *; }
#XBanner
-keep class com.stx.xhb.androidx.XBanner.** { *; }
#底部導(dǎo)航欄
-keep class com.aurelhubert.ahbottomnavigation.** { *; }
#Bugly SDK
-dontwarn com.tencent.bugly.**
-keep public class com.tencent.bugly.**{*;}
-keep class android.support.**{*;}
