我正在使用 XCode 和 Objective C (Cocoa) 为 OSX 开发一个应用程序,我需要一个系统来为每个销售的应用程序生成许可证。
系统必须
- 生成无过期序列号
- 生成过期的序列号(试用版)
- 处理黑名单
- 包含用于从 OSX 应用程序输入和检查许可证号的 API
有什么可以做的还是我应该自己实现?
dafi
问问题
3660 次
1 回答
16
我会以三种方式中的一种来实现这一点,这取决于我有多偏执。
您使用的语言无关紧要。
方法 1:RSA 签名的许可证
如果您对有人对您的许可证生成器进行逆向工程感到偏执,这就是您使用的方法。您生成一个 RSA 密钥对,并将公钥与应用程序捆绑在一起。每个许可证号都使用私钥签名,应用程序使用公钥验证签名。由于您是唯一拥有私钥的人,因此有人能够为您的应用程序制作许可证生成器的危险几乎为零。
缺点:许可证密钥很长,可能至少有 200 个字符长(四行文本)。用户不想输入这些,他们将不得不复制和粘贴。
好处:任何人编写许可证生成器的可能性几乎为零。没有经常性费用。
方法 2:HMAC 签名的许可证
如果您不那么偏执,这就是您使用的方法。使用 HMAC 和私钥对许可证进行签名,但私钥必须与您的应用程序捆绑在一起。您可以对其进行混淆处理,但聪明人总是可以从您的应用程序中提取密钥。
缺点:许可证生成器是可能的。
优点:快捷键。您可以选择使用截断的 HMAC;64 位签名可能“足够好”,并且只有 16 个以 16 为基数的字符。没有经常性成本。
方法三:在线验证
这种方法既偏执又方便,但它需要用户有互联网连接,并且需要运行服务器。每个许可证只是一个随机字符串。您服务器上的数据库将随机字符串映射到许可证。当用户注册应用程序时,它会向您的服务器发出 HTTP 请求以获取与指定字符串对应的许可证信息。服务器使用 RSA 签名的许可证进行回复。
缺点:服务器的经常性成本。没有互联网连接无法注册。方便您检测盗版密钥。
优点:快捷键。没有许可证生成器。许可证撤销很容易。那些担心你会倒闭的人的销售损失。
临时许可证
临时许可证也可以通过三种方式完成。
在线的
签署的到期日
签署的许可条款
显然,如果您使用已签署的许可条款,那么如果用户不道德,他们将能够清除他们的偏好以重新启动许可条款。 不要试图在用户找不到的地方隐藏许可条款信息,这违背了用户对您的应用程序不会做任何恶意的信任。如果我在我的计算机上发现任何隐藏数据的应用程序,我会删除该应用程序并拒绝从开发人员那里购买任何东西,我相信其他一些用户也会有同样的感觉。
黑名单
如果您是在线许可证服务器,这很容易——黑名单在服务器上。否则,您将不得不将您的黑名单与应用程序捆绑在一起,并且它只会在您每次发布新版本时更新。
有一个问题是是否阻止那些使用盗版许可证的人。这个问题没有一个明显的答案:您可能认为直接阻止盗版许可证会更好,但接受带有警告消息的盗版许可证实际上是出售新许可证的机会。
编码
我相信您可以想出自己的编码许可证的方式。我见过使用 Base 32,这很好,因为它很难被误读(与 Base 64 不同)。我还看到使用交替的字母和数字组的方案,这很好,因为在读取长键时很容易记住你的位置。
许可证密钥剖析
以下是使用 HMAC 的离线许可证密钥的示例方案:
AAXX-XXXX-YYYY-ZZZZ-ZZZZ-ZZZZ-ZZZZ
AA:产品名称,缩写为两个字母XXXXXX: 一个随机数YYYY:到期日期,自 2013 年 1 月 1 日以来的天数,或 0 表示无限制ZZZZZZZZZZZZZZZZ: 密钥第一部分的签名
对于 RSA 密钥,该ZZZ...部分会很长。
使用在线密钥服务器时,密钥只需ZZZ...而且不必很长(12 或 16 个字符)。
关于开裂的注意事项
无论您选择何种方案,都无法阻止他人破解您的应用程序。聪明的工程师可以反汇编您的应用程序并禁用许可检查。你用来阻碍他们的任何技术只会减慢他们的速度,而不是阻止他们。
于 2013-01-20T18:10:42.443 回答