写过 js混淆器，谈一些浅显的个人看法。

个人认为，js的不可读化处理分为三个方面：压缩（compression）、混淆（obfuscation） 和加密（encryption）。（不可读化处理，这是我自己发明的术语，一切会增加代码不可读性的代码转换, 都可以这么叫，“增加代码不可读性”可能是代码转换的结果或者目的）.

1. 压缩

这一操作的目的，是让最终代码传输量 （不代表代码量, 也不代表文件体积）尽可能小。压缩js的工具，常见的有：YUI Compressor、UglifyJS、Google Closure Compiler 等。

通常在代码压缩的过程中，只改变代码的语法，代码的语义和控制流不会有太大改变。

常见做法是把局部变量缩短化，把一些运算进行等价替换等。代码压缩对于代码保护有一些帮助，但由于语义和控制流基本没变，起不了太大作用。

在压缩层面上，代码不可读只是一种附带伤害，不是最终目的。

2. 混淆

这一操作的目的，是让代码尽可能地不可读，主要用作代码保护。

让代码不可读，增加分析的难度，这是唯一目的。混淆过后文件体积变大一倍也没关系，代码量变多也没关系，运算慢50% 也没关系。

常见的做法有：分离常量、打乱控制流、增加无义代码、检查运行环境如果不对就罢工，等等。

在混淆层面上，代码不可读是最终目的。

值得一提的是，Google Closure Compiler 的 Advance Level Compression 会压缩类和对象的成员，其压缩结果很难分析，也可以认为是一种混淆，但兼容性不太好。

相关工具：

1. 在线JS压缩工具，里面有标识符混淆选项。JS压缩:https://www.css-js.com/

2. UglifyJS：http://lisperator.net/uglifyjs/
   一般UglifyJS都集成到前端工具当中去使用，比如grunt，在配置UglifyJS中可以选择是否混淆；

3. YUI compressor  ：https://github.com/yui/yuicompressor

4. 还有JSPacker、JsMin等工具。

3. 加密

说实话我很难对加密做一个定义，因为加密在Web界有太多歧义了。

有加密就有解密，意味着加密操作可逆，密文可以明文化。

就这样看来，在Web界，可以称之为加密的东西包括：HTTPS传输、JavaScript实现对称加密或者不对称加密等等。

这样看来，不可逆的代码压缩和混淆就不能列入加密这个范畴了。

非要找一个可以称之为加密，又经常被人误解为压缩和混淆的东西，Dean Edwards 的 Dean Packer/Unpacker 可以拿来做个例子。

比如我们把

var num=1;alert(num);

输入 Dean Packer，pack 一下，得到这么一串东西，是不是看着非常像被压缩和混淆过的代码？

把上面那串意义不明物拿来 unpack 一下，得到了原文。

实际上 Dean Packer 只是对源码进行了一个字符串变换，没有深入到代码语法层面，你可以拿 "Hello world, 你好师姐" 来试试。

用Online JavaScript beautifier 能轻松把这串东西还原为 “Hello world, 你好师姐”。

可以看出，代码加密意味着：将代码明文进行可逆的变换（加密），生成密文；将密文进行逆变换（解密），可以还原明文；最终运行环境运行的是解密代码。

结语

实际上大家对压缩、混淆、加密这三个概念还是挺不清晰的，我在这里说一些个人见解，希望有帮助。

在现实项目中，我是多种手段结合的：

• 对于不需要做代码保护的项目，比如个人博客，做代码压缩，加快载入速度，这就够了。

• 对于需要做一些代码保护，防止抄袭的项目，可以在源码中加入一些开发者的信息和防护代码，然后混淆和压缩。很不幸的是，我这方面总是做得不太好，防君子防不了小人啊哈哈。

• 对于需要严格加密的项目，可以用 混淆、压缩、加密、签名检查 等多种手段，这我就不清楚了，等大婶来补充。