Electron-如何保护源码？

一开始听到这个需求挺懵的，做为一个聊天软件，代码里并无所谓核心算法和商业机密，为何须要保护源码。何况Electron自己在打包时提供了asar这种archive文件格式，会将全部源码和依赖封装。

需求

一阵分析后，Electron项目源码保护仍是有必要的。

• asar只是对源码的合并归档，并不提供加密之类的操做。 经过asar e的命令，能够很简单地进行解压和获得源码。
• 业务上，即时通信应用的聊天数据均存储在本地，虽然使用了加密版的sqlite3。但拿到源码，也就意味着知道了密钥，数据库加密也就形同虚设。

寻找解决方案

asar加密

翻github和Stack Overflow，发现对Electron源码保护方案讨论由来已久。

Source Code Protection #3041

Add Encryption Feature #46

总结下来，官方并无打算提供解决方案。做者们认为，不管用什么形式去加密打包文件，密钥总归是须要放置在包里的。。

继续翻，国内论坛上一些大佬有尝试解决过这个问题，是从asar打包这块切入，然而，并无看懂。。

electron 加密打包的正确方法

简单理解下大佬的思路：对asar源码进行分析，在 asar 打包时写入文件以前, 经过加密算法把写入的文件进行加密；在asar.js读取文件处添加对应文件解密算法；同时对asar文件头部 json 进行加密,使得官方的 asar 就无法解包了。

思路我是看懂了，怎么下手彻底不知。有兴趣的童鞋能够主动去留言询问。。

addons封装核心代码

electron issue里有人提出能够利用nodejs的addons来封装核心代码。addons是nodejs实现跨平台调用原生代码的插件，由于保护源码的主要目的是为了提升安全性，将数据库密钥等关键字段存储在原生代码中，提升破解门槛。

实现

C++语法基本忘光了，先实现一个简单业务练练手：JS传入用户信息对象，C++读取对象，处理后，返回数据库对应的密钥。

Nodejs与C++之间的类型转换由V8 API提供，具体可参考Node.js 和 C++ 之间的类型转换。

// key.cc
#include <node.h>

namespace key {

using v8::FunctionCallbackInfo;
using v8::Isolate;
using v8::Local;
using v8::NewStringType;
using v8::Object;
using v8::String;
using v8::Value;

void GetKeys(const FunctionCallbackInfo<Value>& args) {
  Isolate* isolate = args.GetIsolate();

  // 判断js传递的参数是否为对象
  if (!args[0]->IsObject()) {
    printf("not Object\n");
  }

  // 新建对象，将cfg和id绑定到对象
  Local<String> cfgKey = v8::String::NewFromUtf8(isolate, "testxxx");
  Local<Object> keyObj = v8::Object::New(isolate);
  keyObj->Set(v8::String::NewFromUtf8(isolate, "cfgKey"), cfgKey);

  // 读取js传递的对象
  Local<Object> userObj = Local<Object>::Cast(args[0]);
  Local<Value> id = userObj->Get(String::NewFromUtf8(isolate, "id"));
  keyObj->Set(v8::String::NewFromUtf8(isolate, "id"), id);

  args.GetReturnValue().Set(keyObj);
}

void GetUidByUserInfo(const FunctionCallbackInfo<Value>& args) {
  Isolate* isolate = args.GetIsolate();

  Local<Object> userObj = Local<Object>::Cast(args[0]);
  Local<Value> id = userObj->Get(String::NewFromUtf8(isolate, "id"));

  args.GetReturnValue().Set(id);
}

void Initialize(Local<Object> exports) {
  NODE_SET_METHOD(exports, "getKey", GetKeys);
  NODE_SET_METHOD(exports, "getUserKey", GetUidByUserInfo);
}

NODE_MODULE(NODE_GYP_MODULE_NAME, Initialize)

} 
复制代码

key.cc中暴露了两个简单的方法，分别是获取全部key的对象和获取单独用户的key，固然，这里只是简单的业务逻辑展现。在Nodejs Addons中，接口是经过这种模式的初始化函数：

void Initialize(Local<Object> exports);
NODE_MODULE(NODE_GYP_MODULE_NAME, Initialize)
复制代码

NODE_GYP_MODULE_NAME，是在binding.gyp中设定的模块名称。Nodejs不能直接调用C++文件，须要先经过node-gyp将其编译为二进制文件，binding.gyp则是相似JSON格式的构建配置文件。在根目录下新建该文件：

{
  "targets": [
    {
      "target_name": "dbkey",
      "sources": [ "key.cc" ]
    }
  ]
}
复制代码

安装好node-gyp和相关依赖。前后输入命令 node-gyp configure， node-gyp build

成功后，生成build目录，获得二进制文件dbkey.node。

而后，咱们写个js测试下。

const dbKey = require('./build/Release/dbkey');

const userInfo = {
  id: '123456',
};

console.log(dbKey.getKey()); // { cfgKey: 'testxxx', id: '123456' }
console.log(dbKey.getUserKey(userInfo)); // 123456
复制代码

经过require()，咱们就能够调用C++模块。

但此时的dbkey.node并不能直接扔进electron中使用，咱们须要用electron相关头文件对该插件进行重编译。

node-gyp rebuild --target=1.7.11 --arch=x64 --target_platform=darwin --dist-url=https://atom.io/download/atom-shell

根据你的electron版本号（target）和平台（target_platform）分别重编译。

ps. 由于Nodejs版本不少，其V8 API也不彻底一致，C++逻辑建议使用NAN，NAN对V8 API作了封装，使咱们不用关心版本问题。咱们项目中使用的Native模块，如canvas，sqlite等，其源码也都是使用NAN。

总结

利用C++ Addons封装核心业务代码，能必定程度提高源码的安全性。但须要修改以前的打包流程，开发调试上也会带来一些不便。仍是看业务上如何取舍吧。