对基于客户端的应用程序实施 Saas 订阅要求

Question

我想为 chrome 创建一个 SaaS 扩展。

当他们的订阅不再是最新的时，我如何确保他们不能使用我的扩展程序的功能？

我的基本想法是，每当他们想使用我的 chrome 扩展程序的功能时，该扩展程序都会向我的服务器发出 ajax 请求，以检查今天的日期是否早于我数据库中订阅的结束日期。

扩展显然是基于客户端的，所以即使我在客户端有代码，只有当我的 ajax 请求返回他们有当前订阅时才会执行，但有进取心的人不能只看我的代码并运行它通过控制台以超出我的 ajax 请求要求的方式？

有没有办法强制订阅？

编辑：

这主要是一个概念性问题，但我会尽量清楚。

我的应用程序运行所需的所有 javascript 代码都在他们的本地机器上，在他们的源文件中（它不需要访问我的数据库）。

所以你可以把我在他们本地机器上的代码想象成这样：

if (usersSubscriptionIsCurrent) {
  runFeature()
}

如果对我的服务器的 Ajax 请求返回他们的订阅是最新的，则 usersSubscriptionIsCurrent 为 true。

仍然可以通过查看源代码，然后在他们的控制台中输入runFeature() 来运行我的功能。

我想阻止这种情况。

我的扩展程序依赖于将数据从扩展程序发送到相关的 chrome 应用程序，所以我只是想到我也可以将数据发送到我的服务器，然后服务器可以将数据转发到用户的 chrome 应用程序，如果他们有当前订阅。但是哎呀。

我想得越多，我就越觉得我无法阻止，但我想我会问一下，以防有人有聪明的主意。

Answer 1

我认为您对什么是 SaaS 有点困惑。 Wikipedia:

软件即服务是一种软件许可和交付模式，其中软件以订阅方式获得许可，并且集中托管。 SaaS 通常由用户使用瘦客户端通过网络浏览器访问。

强调我的。

如果您的应用程序/扩展程序包含所需的所有逻辑，则它不符合 SaaS 条件。此外，由于始终可以复制/剖析您的应用程序，取消所有许可证检查，因此您无法保护它免受坚定的攻击者的攻击。

有一些方法可以在一定程度上保护您的代码，例如通过混淆、将逻辑卸载到 (P)NaCl 模块、native host modules，或者像 Alex Belozerov suggested 那样在运行时加载代码。同样，所有这些都可以被坚定的攻击者打破。

但如果您真的考虑到 SaaS（而不仅仅是基于订阅的许可），您的客户端应用程序应该是一个瘦客户端：也就是说，您的应用程序逻辑应该在服务器上处理，代码安全地远离客户。这是保护它的唯一“可靠”方式，但会产生处理费用，但这是订阅首先应该涵盖的内容。

Answer 2

您可以从服务器端获取所需的部分代码。因此，如果用户的订阅结束，他将不会因为缺少部分代码而运行您的功能。我的想法的概念：

var subscriptionStatusResponse = makeAjaxCall();
if(subscriptionStatusResponse.usersSubscriptionIsCurrent) {
   runFeature_localCode();                  // only part of functional
   subscriptionStatusResponse.remoteCode(); // second part
}

Answer 3

也许最好的解决方案是在扩展程序启动后立即检查他们的订阅是否是最新的，然后在他们的订阅结束时使用chrome management API 卸载或禁用它。

不过，我很想听听更好的想法。