JS生成字節(jié)碼生成技術(shù)，用字節(jié)碼保護商業(yè)NodeJS源碼！

本文介紹一種NodeJS源代碼保護方式：通過把nodejs代碼轉(zhuǎn)化為字節(jié)碼，用node啟動字節(jié)碼文件的方式，保護nodejs源代碼不泄漏。

可應(yīng)用于nodejs項目提交源碼、nodejs產(chǎn)品在不可信的環(huán)境中部署，防止別人獲取源碼。

如同JS代碼一樣，nodejs源碼，也是透明代碼，通常用node啟動代碼時，都必須把源碼也放置到啟動環(huán)境中。這在很多時候是不安全不穩(wěn)妥的。因為js源碼透明的原因，別人可以直接獲取到產(chǎn)品或項目源碼。
如果是為第三方定制項目，對方可以直接拿到源碼。如果是要在某些環(huán)境中啟動項目，比如虛擬主機、他人的服務(wù)器中，源碼的也是很令人擔心的。

為了防止源碼泄漏帶來的一系列令人不安的后果，這里介紹一種專門針對于nodejs源碼的保護技術(shù)：將nodejs代碼轉(zhuǎn)化為字節(jié)碼文件。

實現(xiàn)原理

nodejs的內(nèi)核中對于js的解析，使用的是谷歌的v8引擎。v8引擎內(nèi)置有js虛擬機。通過v8虛擬機，可以將js代碼編譯為字節(jié)碼。而v8虛擬機是能夠識別和直接運行該字節(jié)碼的。因此，以下執(zhí)行邏輯成為可能：

1、js代碼 -> js字節(jié)碼
2、js字節(jié)碼 -> nodejs ->運行

實現(xiàn)代碼

（例程）

生成字節(jié)碼文件的部分：

var v8 = require('v8');
var fs = require('fs');

//讀取源文件（JS源碼）
var js_code = fs.readFileSync(__dirname+"/test.js").toString();

//生成字節(jié)碼
var script = new vm.Script(js_code, {produceCachedData: true});
var byte_code = script.cachedData;

//將字節(jié)碼寫入文件
fs.writeFileSync(__dirname+"/test.jsb",byte_code);

讀取并運行字節(jié)碼的部分：

var v8 = require('v8');
var fs = require('fs');

//從文件中讀取字節(jié)碼
byte_code = fs.readFileSync(__dirname+"/test.jsb");

//運行
var l = byte_code.slice(8, 12).reduce(function (sum, number, power) { return sum += number * Math.pow(256, power);});
var dummyCode =" ".repeat(l);
script = new vm.Script(dummyCode, {cachedData: byte_code});
script.runInThisContext();

運行效果

test.js是本例的測試文件，內(nèi)容如下：

console.log("hello world");
console.log("this is a test");

運行效果如下：

生成字節(jié)碼，讀取、運行字節(jié)碼。如此操作起來，并不復(fù)雜，如果量大的話，還是稍有些繁瑣的。

另外一個弊端是：兼容性問題。比如win下生成的字節(jié)碼，到linux下，是不能正常運行的。如果要在linux下用，就要在linux下生成。也就是操作系統(tǒng)要一致。

對于JS代碼產(chǎn)品的保護，除了可以使用字節(jié)碼技術(shù)，還可以用代碼混淆加密的辦法，比如：JShaman（http://www.jshaman.com/）是一款對JS代碼進行混淆加密的工具，也適用于nodejs代碼加密，也是個非常不錯的nodejs代碼保護手段，且可對前端JS代碼進行保護，通用性比較強。