一、混淆apk的必要性
当我们的app开发完毕上传各大应用市场的时候如果我们不进行apk的混淆就会导致app的安全性大大的降低,你也不想自己幸幸苦苦做完的项目就这么轻易的被别人窃取了。混淆虽然不能完全防止别人反编译apk看到你的代码,也能很大程度上让反编译的代码阅读性降低。所以混淆还是必须的。

二、如何混淆
在Android Studio当中混淆APK实在是太简单了,,只需要修改build.gradle中的一行配置即可。可以看到, 现在build.gradle中minifyEnabled的值是false,这里我们只需要把值改成true,打出来的APK包就会是混淆过的了。如下 所示:

buildTypes {
        release {
            minifyEnabled true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }

其中minifyEnabled用于设置是否启用混淆,proguardFiles用于选定混淆配置文件。注意这里是在release闭包内进行配置的, 因此只有打出正式版的APK才会进行混淆,Debug版的APK是不会混淆的。
但是这样混淆出来的app都是google的一些默认配置的混淆,但是我们的实际项目开发中有一些代码是不需要混淆的,所以这就需要我们自己写混淆文件。

三、如何写混淆配置文件

android studio开启 混淆 android 混淆配置_反编译


混淆配置我们都写在文件proguard-rules.pro

下面是混淆指令介绍:

(1)、基本指令

# 不优化输入的类文件  -dontoptimize
# 代码混淆压缩比,在0~7之间,默认为5,一般不下需要修改
-optimizationpasses 5

# 混淆时不使用大小写混合,混淆后的类名为小写
# windows下的同学还是加入这个选项吧(windows大小写不敏感)
-dontusemixedcaseclassnames

# 指定不去忽略非公共的库的类
# 默认跳过,有些情况下编写的代码与类库中的类在同一个包下,并且持有包中内容的引用,此时就需要加入此条声明
-dontskipnonpubliclibraryclasses

# 指定不去忽略非公共的库的类的成员
-dontskipnonpubliclibraryclassmembers

# 不做预检验,preverify是proguard的四个步骤之一
# Android不需要preverify,去掉这一步可以加快混淆速度
-dontpreverify

# 有了verbose这句话,混淆后就会生成映射文件
# 包含有类名->混淆后类名的映射关系
# 也可以使用printmapping指定映射文件的名称,不指定使用默认
-verbose

# 指定混淆时采用的算法,后面的参数是一个过滤器
# 这个过滤器是谷歌推荐的算法,一般不改变
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/* 

# 保护代码中的Annotation不被混淆
# 这在JSON实体映射时非常重要,比如fastJson
-keepattributes *Annotation*

# 避免混淆泛型
# 这在JSON实体映射时非常重要,比如fastJson
-keepattributes Signature

# 抛出异常时保留代码行号
-keepattributes InnerClasses,LineNumberTable

#忽略警告
-ignorewarning

(2)需要保留的东西

# 保留所有的本地native方法不被混淆
-keepclasseswithmembernames class * {
   native <methods>;
}

# 保留了继承自Activity、Application这些类的子类
# 因为这些子类有可能被外部调用
# 比如第一行就保证了所有Activity的子类不要被混淆
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService

# 如果有引用android-support-v4.jar包,可以添加下面这行
-keep public class com.null.test.ui.fragment.** {*;}

# 保留Activity中的方法参数是view的方法,
# 从而我们在layout里面编写onClick就不会影响
-keepclassmembers class * extends android.app.Activity {
   public void * (android.view.View);
}

# 枚举类不能被混淆
-keepclassmembers enum * {
   public static **[] values();
   public static ** valueOf(java.lang.String);
}

# 保留自定义控件(继承自View)不能被混淆
-keep public class * extends android.view.View {
   public <init>(android.content.Context);
   public <init>(android.content.Context, android.util.AttributeSet);
   public <init>(android.content.Context, android.util.AttributeSet, int);
   public void set*(***); *** get* ();
}

# 保留Parcelable序列化的类不能被混淆
-keep class * implements android.os.Parcelable{
    public static final android.os.Parcelable$Creator *;
}

# 保留Serializable 序列化的类不被混淆
-keepclassmembers class * implements java.io.Serializable {
   static final long serialVersionUID;
   private static final java.io.ObjectStreamField[] serialPersistentFields;
   !static !transient <fields>;
   private void writeObject(java.io.ObjectOutputStream);
   private void readObject(java.io.ObjectInputStream);
   java.lang.Object writeReplace();
   java.lang.Object readResolve();
}

# 对R文件下的所有类及其方法,都不能被混淆
-keep class **.R$* {
    *;
}
# 对于带有回调函数onXXEvent的,不能混淆
-keepclassmembers class * {
    void *(**On*Event);
}

# 构造函数从xml构造的类不混淆
-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet);
}
-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet, int);
}

(3)、针对App的量身定制

<1>保留实体类和成员不被混淆

对于实体,要保留它们的get和set方法,对于boolean型get方法有的命名是isXXX类型,不要遗漏

#全部忽略
-keep class com.null.test.entities.** {
    *;
}
#忽略get和set方法
-keep class com.null.test.entities.** {
    public void set*(***);
    public *** get*();
    public *** is*();
}
# 以上两种任意一种都行

<2>内嵌类

内嵌类经常容易被混淆,结果调用的时候为空就崩溃了。最好的办法就是不用内嵌类(有点扯淡),如果MainActivity中使用了,就用如下代码

-keep class com.null.test.MainActivity$* {
    *;
}

$这个符号就是用来分割内嵌类与其母体的标志

<3>对WebView的处理

如果项目中用到了WebView的复杂操作,请加入以下代码:

-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String);
}

<4>对JavaScript的处理

-keepclassmembers class com.null.test.MainActivity$JSInterfacel {
    <methods>;
}

(4)针对第三方jar包的解决方案

一般来说第三方的SDK都是经过ProGuard混淆了的。我们要做的就是避免其再次在我们的App混淆。

<1>针对andoid-support-v4.jar的解决方案

-libraryjars ./libs/android-support-v4.jar
-dontwarn android.support.v4.** 
-dontwarn **CompatHoneycomb
-dontwarn **CompatHoneycombMR2
-dontwarn **CompatCreatorHoneycombMR2
-keep interface android.support.v4.app.** { *; }
-keep class android.support.v4.** { *; }
-keep public class * extends android.support.v4.**
-keep public class * extends android.app.Fragment

这里注意一个问题就是,很有可能在我们引用的其他包里面也会依赖v4包,因两个(或者以上)v4的版本是不一样的,在运行期间抛出NoClassDefFoundError异常。相应的解决办法就是都依赖同一个v4包就行
了。

<2>其他第三方的jar包的解决方案

这个要取决第三方jar包的混淆策略了。一般在其官方文档上面都有混淆说明。比如支付宝相应的混淆规则就是:

-libraryjars ./libs/alipaysdk.jar
-dontwarn com.alipay.android.app.** 
-keep public class com.alipay.** {*;}

图片加载框架Glide混淆

-keep public class * implements com.bumptech.glide.module.GlideModule
-keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** {
    **[] $VALUES;
     public *;
}

如果没有官方混淆文档,需要配置的混淆代码也是类似的

四、混淆关键字

dontwarn
缺省proguard 会检查每一个引用是否正确,但是第三方库里面往往有些不会用到的类,没有正确引用。如果不配置的话,系统就会报错。
libraryjars
引用第三方jar包

keep
保留类和类中的成员,防止它们被混淆或移除。
keepnames
保留类和类中的成员,防止它们被混淆,但当成员没有被引用时会被移除。
keepclassmembers
只保留类中的成员,防止它们被混淆或移除。
keepclassmembernames
只保留类中的成员,防止它们被混淆,但当成员没有被引用时会被移除。
keepclasseswithmembers
保留类和类中的成员,防止它们被混淆或移除,前提是指名的类中的成员必须存在,如果不存在则还是会混淆。
keepclasseswithmembernames
保留类和类中的成员,防止它们被混淆,但当成员没有被引用时会被移除,前提是指名的类中的成员必须存在,如果不存在则还是会混淆。

五、通配符

<field>

匹配类中的所有字段

<method>

匹配类中的所有方法

<init>

匹配类中的所有构造函数

*

匹配任意长度字符,但不含包名分隔符(.)。比如说我们的完整类名是com.example.test.MyActivity,使用com.*,或者 com.exmaple.*都是无法匹配的,因为*无法匹配包名中的分隔符,正确的匹配方式是com.exmaple.*.*,或者 com.exmaple.test.*,这些都是可以的。但如果你不写任何其它内容,只有一个*,那就表示匹配所有的东西。

**

匹配任意长度字符,并且包含包名分隔符(.)。比如proguard-android.txt中使用的-dontwarn android.support.**就可以匹配android.support包下的所有内容,包括任意长度的子包。

***

匹配任意参数类型。比如void set*(***)就能匹配任意传入的参数类型,*** get*()就能匹配任意返回值的类型。

匹配任意长度的任意类型参数。比如void test(…)就能匹配任意void test(String a)或者是void test(int a, String b)这些方法。