爲基於客戶端的應用程序實施Saas訂閱要求

Question

我想爲Chrome創建SaaS擴展。

如何確保他們的訂閱不再是最新版本時不能使用我的擴展功能？

我的基本想法是，只要他們想使用我的Chrome擴展的功能，擴展會向我的服務器發出ajax請求，以檢查當前日期是否在我的數據庫中的訂閱結束日期之前。

該擴展顯然是基於客戶端的，所以即使我的客戶端只有在我的ajax請求返回它們有當前訂閱的情況下才會執行代碼，那麼無法讓一個有進取心的人只看我的代碼並運行它通過控制檯以超過我的ajax請求要求的方式？

有沒有辦法強制訂閱？

編輯：

這主要是一個概念上的問題，但我會盡力再清楚不過了。

我的應用程序需要的所有javascript代碼都在他們的本地機器上，在它們的源文件中（以便它不需要訪問我的數據庫）。

，所以你可以對本機認爲我的代碼看起來像這樣：

if (usersSubscriptionIsCurrent) { 
    runFeature() 
} 

如果Ajax請求到我的服務器返回他們的訂閱是當前usersSubscriptionIsCurrent是真實的。

只要查看源代碼，然後在其控制檯中輸入runFeature()，某人仍然可以運行我的功能。

我想阻止這種情況。

我的擴展依賴於將擴展名的數據發送到相關的chrome應用程序，所以我只想到我也可以將數據發送到我的服務器，然後可以將數據轉發到用戶的Chrome應用程序，如果他們有目前的訂閱。但是，

我越想越想越少，我認爲可以預防，但我想我會問，如果有人有一個聰明的想法。

Answer 1

我覺得你對什麼是SaaS有些困惑。 Wikipedia：

軟件即服務是一種軟件許可和交付模式，即軟件許可訂閱基礎上被集中託管。用戶通常通過網頁瀏覽器使用瘦客戶端訪問SaaS。

強調我的。

如果您的應用/擴展程序包含所有需要的邏輯，則它不符合SaaS標準。此外，由於始終可以複製/剖析您的應用程序，取出所有許可證檢查，因此無法保護它免受確定的攻擊者的攻擊。

有保護你的代碼在一定程度上的方式，通過模糊處理，卸載邏輯(P)NaCl模塊，native host modules，或者像亞歷克斯Belozerov suggested，加載上運行的代碼。再一次，所有這些都可以被堅定的攻擊者打破。

但是，如果你真的有心靈的SaaS（而不是僅僅基於訂閱的許可），您的客戶端應用程序應該是一個瘦客戶端：也就是說，你的應用程序邏輯應該在服務器上進行處理，用代碼安全離開來自客戶。這是保護它的唯一「可靠」方式，但是會給您帶來處理成本，但訂閱本來應該涵蓋這一點。

Answer 2

也許最好的解決方案是在擴展開始時檢查它們的訂閱是否是最新的，然後在訂閱結束時使用chrome management API來卸載或禁用它。

雖然我很樂意聽到更好的想法。

Answer 3

您可以從服務器端獲取部分代碼。所以如果用戶的訂閱結束了，他將不會運行你的功能，因爲代碼的一部分缺失。我的想法的概念：

var subscriptionStatusResponse = makeAjaxCall(); 
if(subscriptionStatusResponse.usersSubscriptionIsCurrent) { 
    runFeature_localCode();     // only part of functional 
    subscriptionStatusResponse.remoteCode(); // second part 
}