Java认证/授权服务器

Question

我在这里遇到了一些麻烦，因为我从来没有想过我会做这样的事情，我不知道从哪里开始；所以我正在帮助一些人将能够帮助我(理想情况下提供一些java代码)……

在我努力保护我的Java软件免受盗版的过程中，我发现这是完全不可能的，除非我不断地在网上检查--这就是我想要做的。只是，我知道的唯一的细节是，我的程序需要与某种在线脚本通信，并验证程序正在使用的许可证密钥，然后相应地返回报告。

然而，这就是我所知道的一切--我仍然无法确定服务器端的实际组成。我希望我没有亲自托管网站的事实(使用JustHost)不会阻止我做我需要的事情。

所以基本上，我需要一些帮助来创建一个设置，允许我防止任何人在连接到互联网时盗版我的软件。我想过要有一个类似登录系统的东西；用户许可证密钥将充当用户名和密码，但老实说，我真的不知道，因为如果我这样做，他们每次想使用软件时都必须手动登录和注销。

在我能走之前不要跑，但是当用户没有连接到互联网时会发生什么呢？更糟糕的是，我如何判断是否有人窃取了合法用户的许可证密钥？等。

提前谢谢你，

安迪

PS如果有帮助，我计划使用PostgreSQL (或者MySQL)，并且我不会为带有JustHost.com的专用服务器付费…

Answer 1

一旦你的代码在他们的机器上，他们就可以修改为忽略你的检查。你可以使它尽可能的困难，但它永远不会是黑客的证明。

一般来说，你的问题和this one是一样的，它有一些很好的讨论。

Answer 2

1. 尝试将部分业务逻辑委托给服务器端。这样，除非应用程序许可证有效，否则某些核心进程无法完成。当然，如果你有一些可以委托的逻辑。如果您的应用程序是纯客户端的，那么这种方法是一个糟糕的选择。
2. 如果您的应用程序将以高价出售，请尝试使用HASP key方法(这本身就是投资)而不是服务器身份验证来实现解决方案。我理解这不是您所要求的，我只是给出了另一个想法。
3. 尝试通过混淆/加密来创建安全性，如果您的应用程序变得流行，您将失败，因为总会有人在5分钟内破解它:(