现在很多后台服务都是用NodeJS开发的,比如网站后台,游戏服务器,应用服务等,但是NodeJS的后台有一个缺点,就是经常让人心惶惶:JS代码,代码透明公开,很容易被别人抄袭,很容易泄露自己开发的产品,甚至很快就会出现类似的产品。这里介绍一种保护NodeJS源码的方法:将nodejs代码转成字节码,使用node启动字节码文件,保护nodejs源码不被泄露。可应用于nodejs项目提交源码,nodejs产品部署在非信任环境,防止他人获取源码。实现原理nodejs核心中js的解析使用的是google的v8引擎。v8引擎内置js虚拟机。通过v8虚拟机,可以将js代码编译成字节码。v8虚拟机可以直接识别并运行字节码。因此,以下执行逻辑成为可能:1.js代码->js字节码2、js字节码->nodejs->运行实现代码(routine)生成字节码文件:varv8=require('v8');varfs=require('fs');//读取源文件(JS源码)varjs_code=fs.readFileSync(__dirname+"/test.js").toString();//生成字节码varscript=newvm.Script(js_code,{produceCachedData:true});varbyte_code=script.cachedData;//将字节码写入文件fs.writeFileSync(__dirname+"/test.jsb",byte_code);读取并运行字节码部分:varv8=require('v8');varfs=require('fs');//从文件中读取字节码byte_code=fs.readFileSync(__dirname+"/test.jsb");//运行varl=byte_code.slice(8,12).reduce(function(sum,number,power){returnsum+=number*Math.pow(256,power);});vardummyCode="".repeat(l);脚本=newvm。Script(dummyCode,{cachedData:byte_code});script.runInThisContext();运行效果test.js为本例测试文件,内容如下:console.log("helloworld");console.log("这是一个测试”);运行效果如下:生成字节码,读取并运行字节码。这样操作起来并不复杂,但是如果数量大的话,还是有点繁琐。另外,利用JShaman对JS代码进行混淆加密,同样适用于nodejs代码加密,也是一种很好的nodejs代码保护手段。注意事项在使用这种方法生成机器码的时候需要注意一点,那就是:平台一致性,比如你要在linux系统上运行,就必须在linux下生成;如果要在Windows平台上运行,必须在Windows上运行生成,否则生成的字节码文件不能正常使用。
