alirayaneh
جمعه 30 مرداد 1394, 23:38 عصر
با سلام به همه دوستان پیشکسوت .
یکی از روش های ایجاد لایسنس استفاده از api هست . برای مثال بخش مهمی از نرم افزاری رو که قرار هست در اختیار دیگران قرار بگیره رو بصورت وابسته به api طراحی میکنیم . بطوری که مثلا دیتا ها و پردازش های مهمش رو در سرور انجام بده و حاصل اون پرداز رو از طریق api در ختیار نرم افزار جهت تکمیل عمل کردش قرار بدیم . و این روش تا حدودی از انتشار و نال شدن محصولات نرم افزاری ما جلوگیری میکنه .
در این روش معمولا هر درخواست که به سرور ارسال میشه . ابتدا هویت ارسال کننده درخواست در سرور تایید میشه و بعد متناسب با اون پاسخ صادر میشه . .
در این مرحله یکی از پارامتر هایی که چک میشه آدرس دامنه ارسال کننده در خواست هست و اگر دامنه جزو دامنه های وریفای شده در حساب کاربری مشتریان ما هست دیتا های درخواست شده رو به اون بر میگردونیم .
اما نکته ای که اینجا پیش میاد امکان جعل پارامتر های موجود در هدر هست که به افراد سود جو این امکان رو میده که با داشتن بقیه پارامتر ها از جمله یوزر و پسورد و ip و... هویت رو جعل کنند و مثل یک نسخه دارای لایسنس از اون استفاده کنند . . . (فرض کنید یکی از مشتریان شما این نسخه رو در اختیار اونها قرار داده باشه و اونها هم در همون سرور از نسخه کپی شده میزبانی کنند و ... )
حال دوتا مورد که به ذهن میرسه . اینه که از کاربر آدرس URL برگشت یا callback رو بگیریم و دیتا ها رو از طریق یه HTTP_request به callback url پاس بدیم
و همچنین در سمت سرور یه credit charge ایجاد کنیم و میزان درخواست های ماهانه یا روزانه یا ساعتی کلاینت ها رو محدود کنیم مثلا بگیم در هر ساعت 50 ریکوست . تا اینطور حتی اگر هکر ها خواستن از طریق روش هایی که مطرح کردن اونها از حوصله این بحث خارج هست ، اقدام کنند . نتونند
حالا از دوستان میخوام نظر خودشون رو در خصوص این روش و اشکالات اون بگن . این که از نظر تون این روش تا چه حد میتونه مفید باشه همچنین میزان بالار رفتن لود سرور در این روش چقدر با روش معمول که برگردوندن دیتا به در یک ریکوست هست ، تفاوت داره .
یکی از روش های ایجاد لایسنس استفاده از api هست . برای مثال بخش مهمی از نرم افزاری رو که قرار هست در اختیار دیگران قرار بگیره رو بصورت وابسته به api طراحی میکنیم . بطوری که مثلا دیتا ها و پردازش های مهمش رو در سرور انجام بده و حاصل اون پرداز رو از طریق api در ختیار نرم افزار جهت تکمیل عمل کردش قرار بدیم . و این روش تا حدودی از انتشار و نال شدن محصولات نرم افزاری ما جلوگیری میکنه .
در این روش معمولا هر درخواست که به سرور ارسال میشه . ابتدا هویت ارسال کننده درخواست در سرور تایید میشه و بعد متناسب با اون پاسخ صادر میشه . .
در این مرحله یکی از پارامتر هایی که چک میشه آدرس دامنه ارسال کننده در خواست هست و اگر دامنه جزو دامنه های وریفای شده در حساب کاربری مشتریان ما هست دیتا های درخواست شده رو به اون بر میگردونیم .
اما نکته ای که اینجا پیش میاد امکان جعل پارامتر های موجود در هدر هست که به افراد سود جو این امکان رو میده که با داشتن بقیه پارامتر ها از جمله یوزر و پسورد و ip و... هویت رو جعل کنند و مثل یک نسخه دارای لایسنس از اون استفاده کنند . . . (فرض کنید یکی از مشتریان شما این نسخه رو در اختیار اونها قرار داده باشه و اونها هم در همون سرور از نسخه کپی شده میزبانی کنند و ... )
حال دوتا مورد که به ذهن میرسه . اینه که از کاربر آدرس URL برگشت یا callback رو بگیریم و دیتا ها رو از طریق یه HTTP_request به callback url پاس بدیم
و همچنین در سمت سرور یه credit charge ایجاد کنیم و میزان درخواست های ماهانه یا روزانه یا ساعتی کلاینت ها رو محدود کنیم مثلا بگیم در هر ساعت 50 ریکوست . تا اینطور حتی اگر هکر ها خواستن از طریق روش هایی که مطرح کردن اونها از حوصله این بحث خارج هست ، اقدام کنند . نتونند
حالا از دوستان میخوام نظر خودشون رو در خصوص این روش و اشکالات اون بگن . این که از نظر تون این روش تا چه حد میتونه مفید باشه همچنین میزان بالار رفتن لود سرور در این روش چقدر با روش معمول که برگردوندن دیتا به در یک ریکوست هست ، تفاوت داره .