本文介紹一種NodeJS源代碼保護方式:通過把nodejs代碼轉化爲字節碼,用node啓動字節碼文件的方式,保護nodejs源代碼不泄漏。
可應用於nodejs項目提交源碼、nodejs產品在不可信的環境中部署,防止別人獲取源碼。
如同JS代碼一樣,nodejs源碼,也是透明代碼,通常用node啓動代碼時,都必須把源碼也放置到啓動環境中。這在很多時候是不安全不穩妥的。因爲js源碼透明的原因,別人可以直接獲取到產品或項目源碼。
如果是爲第三方定製項目,對方可以直接拿到源碼。如果是要在某些環境中啓動項目,比如虛擬主機、他人的服務器中,源碼的也是很令人擔心的。
爲了防止源碼泄漏帶來的一系列令人不安的後果,這裏介紹一種專門針對於nodejs源碼的保護技術:將nodejs代碼轉化爲字節碼文件。
實現原理
nodejs的內核中對於js的解析,使用的是谷歌的v8引擎。v8引擎內置有js虛擬機。通過v8虛擬機,可以將js代碼編譯爲字節碼。而v8虛擬機是能夠識別和直接運行該字節碼的。因此,以下執行邏輯成爲可能:
1、js代碼 -> js字節碼
2、js字節碼 -> nodejs ->運行
實現代碼
(例程)
生成字節碼文件的部分:
var v8 = require('v8');
var fs = require('fs');
//讀取源文件(JS源碼)
var js_code = fs.readFileSync(__dirname+"/test.js").toString();
//生成字節碼
var script = new vm.Script(js_code, {produceCachedData: true});
var byte_code = script.cachedData;
//將字節碼寫入文件
fs.writeFileSync(__dirname+"/test.jsb",byte_code);
讀取並運行字節碼的部分:
var v8 = require('v8');
var fs = require('fs');
//從文件中讀取字節碼
byte_code = fs.readFileSync(__dirname+"/test.jsb");
//運行
var l = byte_code.slice(8, 12).reduce(function (sum, number, power) { return sum += number * Math.pow(256, power);});
var dummyCode =" ".repeat(l);
script = new vm.Script(dummyCode, {cachedData: byte_code});
script.runInThisContext();
運行效果
test.js是本例的測試文件,內容如下:
console.log("hello world");
console.log("this is a test");
運行效果如下:
生成字節碼,讀取、運行字節碼。如此操作起來,並不複雜,如果量大的話,還是稍有些繁瑣的。
另外一個弊端是:兼容性問題。比如win下生成的字節碼,到linux下,是不能正常運行的。如果要在linux下用,就要在linux下生成。也就是操作系統要一致。
對於JS代碼產品的保護,除了可以使用字節碼技術,還可以用代碼混淆加密的辦法,比如:JShaman(http://www.jshaman.com/)是一款對JS代碼進行混淆加密的工具,也適用於nodejs代碼加密,也是個非常不錯的nodejs代碼保護手段,且可對前端JS代碼進行保護,通用性比較強。