Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

请教一个连AI也不能帮我的问题,关于源码产品授权的逻辑

问答 / 1 / 24 / 创建于 7个月前 / 更新于 7个月前

我使用 laravel 全家桶开发了一个产品,叫A。没有使用前后端分离。

这个产品是开源的,也就是说代码无加密。但是收费的。

产品提供给那些付费付费购买过的客户,在自己的服务器上进行私有部署。

每次产品更新的时候,我需要让客户服务器上的站点,可以自己进行手动点击按钮进行升级。

升级的逻辑没问题了。但是现在卡在,更新鉴权这一步了。

怎么鉴权?

我的需求是:需要通过授权网址和服务器IP进行更新判断。

客户部署的站点,通过laravel 发送请求的。

Http::post('http://scrm.test/api/xxxx');

麻烦事:

1,由于前后端不分离,在服务端与服务端的请求中,这些头信息不会自动生成。所以referer和origin这些头信息是不存在的。拿不到。

2,即使让客户在发送请求的时候,携带网址这个参数,但因为代码是开源的,这个参数可以被人为修改。

所以请教一下大家,应该怎么进行鉴权呢?

我的需求

1,盗版即使修改请求参数,比如手动在代码中修改请求时候的域名和 ip,也无效。
2,即使被盗版,我也能通过请求数据,能方便的查出来盗版源,或者盗版安装域名。
3,完全防盗不可能。只是尽可能在技术层面做一些限制。让盗版不方便。最终即使被盗版,也能追溯和定位。
4,不想做前后端分离。

乌鸦嘴社区 wyz.xyz 来玩。
shebaoting
课程读者 472 声望
乌鸦嘴社区 https://wyz.xyz 来玩。
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
cevin
309 声望
最佳答案

请求的ip是无法伪造的。

请求带上授权域名、授权号。 授权域名+ip+授权号不匹配直接报错就行了啊。服务器IP哪里有天天变的。

7个月前 评论
shebaoting (楼主) 7个月前
$request->ip() 这种方式获取的请求 ip 。如果对方在请求的时候,在网址手动携带一个 ip 参数,是不是就可以伪造了?因为更新是通过Http::get('xxx.test/update') 发送请求的。服务端对服务端的请求,手动携带一个伪造的 ip 参数。 $request->ip() 是不是就不能获取到真实的请求 ip了?
轻语过往 7个月前
@shebaoting $_SERVER['REMOTE_ADDR'],$_SERVER['HTTP_X_FORWARDED_FOR '],$_SERVER['HTTP_VIA'] 这三个足够你获取请求ip了
shebaoting (楼主) 7个月前
@轻语过往 谢谢大神。我试试看。
讨论数量: 24
排序:
时间 投票
cevin
309 声望

请求的ip是无法伪造的。

请求带上授权域名、授权号。 授权域名+ip+授权号不匹配直接报错就行了啊。服务器IP哪里有天天变的。

7个月前 评论
shebaoting (楼主) 7个月前
$request->ip() 这种方式获取的请求 ip 。如果对方在请求的时候,在网址手动携带一个 ip 参数,是不是就可以伪造了?因为更新是通过Http::get('xxx.test/update') 发送请求的。服务端对服务端的请求,手动携带一个伪造的 ip 参数。 $request->ip() 是不是就不能获取到真实的请求 ip了?
轻语过往 7个月前
@shebaoting $_SERVER['REMOTE_ADDR'],$_SERVER['HTTP_X_FORWARDED_FOR '],$_SERVER['HTTP_VIA'] 这三个足够你获取请求ip了
shebaoting (楼主) 7个月前
@轻语过往 谢谢大神。我试试看。
Imuyu
课程读者 861 声望

客户增加秘钥,每个客户不同,请求和响应都使用秘钥加密,这样就能避免客户修改请求和参数,同时可以再关键领域代码加密,无法修改核心代码,缺失核心代码确保无法使用~

7个月前 评论
shebaoting (楼主) 7个月前
部分客户如果买了正版,但是把自己的密钥分享给别人呢?
Imuyu (作者) 7个月前
@shebaoting 还有IP呢,而且而且关键部分代码加密,修改不了,即使修改了,返回数据他也用不了,想要用还是有点麻烦的~
shebaoting (楼主) 7个月前
@Imuyu 如果对方在请求的时候,在网址手动携带一个 ip 参数,是不是就可以伪造了?
我们只希望世界和平 7个月前
@shebaoting 。。。。让你检查请求方真正的ip,不是网址手动填写的ip。
Imuyu (作者) 7个月前

@滚球兽进化 对,而且伪造IP极其复杂,及时伪造了也无法完成tcp握手,能伪造成功还能握手接受信息,我觉得他没必要破解你的系统了~

Coolr 7个月前
@shebaoting 单独部署IP一般是固定的吧!他吧秘钥拿个其他人,你记录一下 每个秘钥的IP 做个限制 ,比如一个秘钥只能绑定2个或3个IP 多了 鉴权就不过
shebaoting (楼主) 7个月前

@Imuyu 我以为在参数上手动携带一个参数 ip 。最终会替换掉$request->ip() 获取到的 ip。是我弱智了。谢谢大神

sanders
课程读者 644 声望 / 程序员鼓励师 @ KDD

搭个 docker 镜像仓库,卖账号给他们,每个人一个镜像,代码做加密,在中间件里判断域名。

7个月前 评论
shebaoting (楼主) 7个月前
暂时不想做代码加密。
小猪蹄子
203 声望

鉴权可以套用微信公众号用户信息的解密,部署的时候客户那边发一个私钥加密请求,然后你解密内容之后,再和你更新授权服务数据库中记录的客户数据匹配再返回

7个月前 评论
Asuna
课程读者 56 声望

域名授权,启动代码加密校验域名,貌似那种cms就是这样做的收集数据

7个月前 评论
yonghuming945
课程读者 11 声望

我有一个不成熟的想法,就是做一个授权码,只能用一次,用的时候会返回一个新的授权码,授权码生成时带上此次更新的版本信息然后加密,如果有人要更新的时候授权码解密后版本信息不等于当前版本信息不允许更新

7个月前 评论
lchola
课程读者 150 声望 / -- @ --

可不可以讲一讲伪造ip的思路,或者你获取对方ip的代码,我想学习一下

7个月前 评论
xiaochong0302
188 声望 / 首席音效师 @ 深圳市酷瓜软件有限公司

你给源码就一切都白给,但也不是无解。给你一个参考思路,我们的产品酷瓜云课堂,有开源版也有企业版(业务代码都没有做任何加密),我们也是基于域名或者IP授权的(可以按时间,也可以按注册人数),我们使用的是Phalcon框架(C扩展框架),我们对框架做了一些改造,把授权校验加进去了,你可以往这个方向上想想办法(写一个PHP扩展,让业务依赖这个扩展,把授权放校验进去)。

7个月前 评论
shebaoting (楼主) 7个月前
谢谢大神。
陈先生
课程读者 650 声望 / PHP_EOL @ NaN

一般来说,我会把核心组件做成 composer 的包,使用 Provider 来完成验证授权的行为。

7个月前 评论
1
zzzzzq
课程读者 17 声望

ip伪造成本不高,通过ip无法完全限制,你可以多加些条件。有种情况是以购买正版软件的服务器当代理,可以绕过大部分限制。目前常用解决方案:1、是加APPID和APPKEY,

7个月前 评论
zzzzzq (作者) 7个月前
2、加Ip白名单;3、限制同版本更新次数;
slince
156 声望

细说升级是怎么做的; :joy:

7个月前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
shebaoting 472 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消