為什么要加密？

對(duì)于傳統(tǒng)的C或C++之類(lèi)的語(yǔ)言來(lái)說(shuō)，要在Web上保護(hù)源代碼是很容易的，只要不發(fā)布它就可以。遺憾的是，Java程序的源代碼很容易被別人偷看。只要有一個(gè)反編譯器，任何人都可以分析別人的代碼。Java的靈活性使得源代碼很容易被竊取，但與此同時(shí)，它也使通過(guò)加密保護(hù)代碼變得相對(duì)容易，我們***需要了解的就是Java的ClassLoader對(duì)象。當(dāng)然，在加密過(guò)程中，有關(guān)Java Cryptography Extension(JCE)的知識(shí)也是必不可少的。

有幾種技術(shù)可以“模糊”Java類(lèi)文件，使得反編譯器處理類(lèi)文件的效果大打折扣。然而，修改反編譯器使之能夠處理這些經(jīng)過(guò)模糊處理的類(lèi)文件并不是什么難事，所以不能簡(jiǎn)單地依賴(lài)模糊技術(shù)來(lái)保證源代碼的安全。

我們可以用流行的加密工具加密應(yīng)用，比如PGP(Pretty Good Privacy)或GPG(GNU Privacy Guard)。這時(shí)，最終用戶在運(yùn)行應(yīng)用之前必須先進(jìn)行解密。但解密之后，最終用戶就有了一份不加密的類(lèi)文件，這和事先不進(jìn)行加密沒(méi)有什么差別。

Java運(yùn)行時(shí)裝入字節(jié)碼的機(jī)制隱含地意味著可以對(duì)字節(jié)碼進(jìn)行修改。JVM每次裝入類(lèi)文件時(shí)都需要一個(gè)稱(chēng)為ClassLoader的對(duì)象，這個(gè)對(duì)象負(fù)責(zé)把新的類(lèi)裝入正在運(yùn)行的JVM。JVM給ClassLoader一個(gè)包含了待裝入類(lèi)(比如java.lang.Object)名字的字符串，然后由ClassLoader負(fù)責(zé)找到類(lèi)文件，裝入原始數(shù)據(jù)，并把它轉(zhuǎn)換成一個(gè)Class對(duì)象。

我們可以通過(guò)定制ClassLoader，在類(lèi)文件執(zhí)行之前修改它。這種技術(shù)的應(yīng)用非常廣泛――在這里，它的用途是在類(lèi)文件裝入之時(shí)進(jìn)行解密，因此可以看成是一種即時(shí)解密器。由于解密后的字節(jié)碼文件永遠(yuǎn)不會(huì)保存到文件系統(tǒng)，所以竊密者很難得到解密后的代碼。

由于把原始字節(jié)碼轉(zhuǎn)換成Class對(duì)象的過(guò)程完全由系統(tǒng)負(fù)責(zé)，所以創(chuàng)建定制ClassLoader對(duì)象其實(shí)并不困難，只需先獲得原始數(shù)據(jù)，接著就可以進(jìn)行包含解密在內(nèi)的任何轉(zhuǎn)換。

Java 2在一定程度上簡(jiǎn)化了定制ClassLoader的構(gòu)建。在Java 2中，loadClass的缺省實(shí)現(xiàn)仍舊負(fù)責(zé)處理所有必需的步驟，但為了顧及各種定制的類(lèi)裝入過(guò)程，它還調(diào)用一個(gè)新的findClass方法。

這為我們編寫(xiě)定制的ClassLoader提供了一條捷徑，減少了麻煩：只需覆蓋findClass，而不是覆蓋loadClass。這種方法避免了重復(fù)所有裝入器必需執(zhí)行的公共步驟，因?yàn)檫@一切由loadClass負(fù)責(zé)。

不過(guò)，本文的定制ClassLoader并不使用這種方法。原因很簡(jiǎn)單。如果由默認(rèn)的ClassLoader先尋找經(jīng)過(guò)加密的類(lèi)文件，它可以找到；但由于類(lèi)文件已經(jīng)加密，所以它不會(huì)認(rèn)可這個(gè)類(lèi)文件，裝入過(guò)程將失敗。因此，我們必須自己實(shí)現(xiàn)loadClass，稍微增加了一些工作量。

【編輯推薦】

1. 在ASP.Net中實(shí)現(xiàn)RSA加密
2. 教你如何在SQL Server數(shù)據(jù)庫(kù)中加密數(shù)據(jù)