Как создавать платные плагины / темы и безопасно их продавать

Question

Я нахожусь в процессе создания платежного шлюза для drupal / wordpress / magento.У меня уже есть клиенты, которые хотят использовать мой плагин.Поскольку это оплачиваемая часть работы, я хочу защитить ее от использования на других веб-сайтах.

Я также видел, что многие поставщики, продающие темы, модули и плагины, обязаны добавлять ключ API.

Как я могу сделать то же самое.Что мне нужно на моей стороне сервера.Я знаю, как создавать модули, но я не знаю, чтобы продавать их безопасно и регулярно доставлять обновления.

Если есть книга по этому вопросу, пожалуйста, дайте мне знать.

Answer 1

Я не знаком ни с одной книгой по этому вопросу, но я расскажу вам то, что видел в качестве одного из основателей рынка компонентов / плагинов , в котором много таких плагинов. -ins.

Есть несколько подходов -

1. Некоторые плагины вообще не требуют ключа API. Либо плагин доступен только после покупки, либо имеет некоторые ограничения на бесплатную загружаемую версию, которая побуждает людей платить за коммерческую версию. Этот подход больше полагается на честность людей и низкую мотивацию попробовать взломать бесплатную версию на коммерческую, особенно если они не являются техническими пользователями (как многие пользователи CMS).
2. Настройте проверку вашего сервера, которая происходит периодически. Для этого вам не нужен полноценный API, просто установите конечную точку на вашем сервере, чтобы плагин мог отправлять ключ API и в соответствии с ответом разрешал использовать плагин. Необходимо спланировать его так, чтобы эта проверка не выполнялась при каждом запуске плагина, особенно если это плагин, который запускается на общедоступном сайте, а не только в панели администрирования - это серьезно ухудшит производительность Сайт использует его и создает ненужную нагрузку на ваш сервер. Использовать какую-либо проверку на основе времени - абсолютно или с момента последней проверки.
3. В дополнение к проверке API или вместо нее некоторые люди запутывают свой код, чтобы усложнить изменение и обход проверки. Это часто требует, чтобы на сервере был установлен модуль, который может анализировать запутанные файлы - это требование часто делает его менее жизнеспособным для большинства людей. Вы можете увидеть некоторые примеры обфускаторов в другом вопросе .

Лично я больше склоняюсь к первому варианту, так как кто-то решительно настроен сломать любую защиту, которую вы предоставляете (люди быстро ломают гораздо более сложные решения). Это одна из проблем доставки исходного кода, а не двоичных файлов (и они также легко ломаются более опытными хакерами). Пусть те, кто желает заплатить, а остальные просто позволяют им делать то, что они хотят, потому что вы все равно не сможете создать что-то действительно безопасное.