为基于客户端的应用程序实施Saas订阅要求

Question

我想为Chrome创建SaaS扩展。

如何确保他们的订阅不再是最新版本时不能使用我的扩展功能？

我的基本想法是，只要他们想使用我的Chrome扩展的功能，扩展会向我的服务器发出ajax请求，以检查当前日期是否在我的数据库中的订阅结束日期之前。

该扩展显然是基于客户端的，所以即使我的客户端只有在我的ajax请求返回它们有当前订阅的情况下才会执行代码，那么无法让一个有进取心的人只看我的代码并运行它通过控制台以超过我的ajax请求要求的方式？

有没有办法强制订阅？

编辑：

这主要是一个概念上的问题，但我会尽力再清楚不过了。

我的应用程序需要的所有javascript代码都在他们的本地机器上，在它们的源文件中（以便它不需要访问我的数据库）。

，所以你可以对本机认为我的代码看起来像这样：

if (usersSubscriptionIsCurrent) { 
    runFeature() 
} 

如果Ajax请求到我的服务器返回他们的订阅是当前usersSubscriptionIsCurrent是真实的。

只要查看源代码，然后在其控制台中输入runFeature()，某人仍然可以运行我的功能。

我想阻止这种情况。

我的扩展依赖于将扩展名的数据发送到相关的chrome应用程序，所以我只想到我也可以将数据发送到我的服务器，然后可以将数据转发到用户的Chrome应用程序，如果他们有目前的订阅。但是，

我越想越想越少，我认为可以预防，但我想我会问，如果有人有一个聪明的想法。

Answer 1

我觉得你对什么是SaaS有些困惑。 Wikipedia：

软件即服务是一种软件许可和交付模式，即软件许可订阅基础上被集中托管。用户通常通过网页浏览器使用瘦客户端访问SaaS。

强调我的。

如果您的应用/扩展程序包含所有需要的逻辑，则它不符合SaaS标准。此外，由于始终可以复制/剖析您的应用程序，取出所有许可证检查，因此无法保护它免受确定的攻击者的攻击。

有保护你的代码在一定程度上的方式，通过模糊处理，卸载逻辑(P)NaCl模块，native host modules，或者像亚历克斯Belozerov suggested，加载上运行的代码。再一次，所有这些都可以被坚定的攻击者打破。

但是，如果你真的有心灵的SaaS（而不是仅仅基于订阅的许可），您的客户端应用程序应该是一个瘦客户端：也就是说，你的应用程序逻辑应该在服务器上进行处理，用代码安全离开来自客户。这是保护它的唯一“可靠”方式，但是会给您带来处理成本，但订阅本来应该涵盖这一点。

Answer 2

也许最好的解决方案是在扩展开始时检查它们的订阅是否是最新的，然后在订阅结束时使用chrome management API来卸载或禁用它。

虽然我很乐意听到更好的想法。

Answer 3

您可以从服务器端获取部分代码。所以如果用户的订阅结束了，他将不会运行你的功能，因为代码的一部分缺失。我的想法的概念：

var subscriptionStatusResponse = makeAjaxCall(); 
if(subscriptionStatusResponse.usersSubscriptionIsCurrent) { 
    runFeature_localCode();     // only part of functional 
    subscriptionStatusResponse.remoteCode(); // second part 
}