使用许可证密钥验证保护 wordpress 主题

Posted

技术标签:

【中文标题】使用许可证密钥验证保护 wordpress 主题【英文标题】:Protect wordpress theme with license key validation 【发布时间】:2011-09-30 11:53:44 【问题描述】:

我正计划开发一些专业的 Wordpress 主题,并希望使用许可证密钥来保护它,可以吗?

如果是这样,有人愿意链接到一些帖子或文章来帮助我入门吗?

【问题讨论】:

【参考方案1】:

您可以在您自己的服务器上建立一个数据库,保存主题的许可证密钥和许可 URL。然后,为您的主题设置一个管理页面。在其中,首先注册一个许可证设置数组。然后在同一页面上实现一个隐藏的设置字段,只要站点管理员更新许可证密钥,该字段就会更新。更新函数向您的服务器发送一个请求,传递许可证密钥和$_SERVER 的主机并将隐藏的 license_settings 字段设置为 true 或 false。

真正简化的代码如下所示:

functions.php

<?php
// functions.php
require("myadminpage.php");

# Functions follow here...
?>

myadminpage.php

<?php
// myadminpage.php

// register settings
function my_settings_init() 
  register_setting('settings_license', 'settings_license');

// register admin page
function my_add_admin_page() 
  add_menu_page(__( '' ), __( 'Manage License' ), 'administrator', 'myadminpage', 'my_admin_page');

add_action('admin_init', 'my_settings_init');   
add_action('admin_menu', 'my_add_admin_page' );

if(isset($_GET["settings-updated"]) && $_GET["settings-updated"] == true)  
    $options = get_option('settings_license');
    $key = $options["key"];
    $host = parse_url($GLOBALS['HTTP_SERVER_VARS']['REQUEST_URI'], PHP_URL_HOST);
    $url = sprintf("http://you.com/check-license.php?key=%s&url=%s", $key, $host);
    $options["valid"] = trim(file_get_contents($url)) == 1) ? "true" : "false"; 
    update_option('settings_license', $options);


// callback function that renders your admin page
function my_admin_page() 
  settings_fields('settings_license'); 
  $options = get_option('settings_license'); 
  ?>
  <form method="post" action="options.php"> 
  <input id="settings_license[key]" type="text" name="settings_license[key]" value="<?php echo $options["key"]; ?>">
  <input id="settings_license[valid]" type="hidden" name="settings_license[valid]" value="<?php echo $options["valid"]; ?>">
  <input type="submit" value="Save"> 
  </form> 
  <?php

?>

现在,您可以在需要/想要的任何时候获取许可选项并以您想要的任何方式处理无效使用。例如(粗鲁的方式):

header.php

<?php
// very first line
$license = get_option('settings_license');
// see: http://ckon.wordpress.com/2006/08/09/server-request_uri-doesnt-always-work-correctly-heres-how-to-fix/
$ruri = $GLOBALS['HTTP_SERVER_VARS']['REQUEST_URI'];
if(!preg_match("#wp-admin#", $ruri) && $license["valid"] != "true") 
  wp_die( __('This website uses unlicensed software.<br>Administrators can update their license key <a href="'. get_bloginfo('url') .'/wp-admin/admin.php?page=myadminpage.php">here</a>.') );


# rest of header.php comes here..    

最后混淆你的php代码(例如http://www.ioncube.com/sa_encoder.php),你就完成了。但是,请确保您没有违反任何其他许可证,例如 WP。如果您的最终代码中使用了一行 WordPress 核心功能,则您不能在 WP(即 GPL)之外的任何其他许可下发布它。

【讨论】:

如果用户事先知道主题使用某种许可证密钥,他们只需一次不成功的尝试即可找出发生了什么(新的 WP、导出数据库、安装主题、导出数据库、区分两个出口)。忽略这样一个事实,即如果用户确定使用您主题的非法副本,他们会这样做,GPL 不允许混淆代码 (***.com/questions/1086445/obfuscation-and-gpl) 而 WP 主题是 GPL (wordpress.org/news/2009/07/themes-are-gpl-too) 我知道你不允许这样做,这就是我自己提到许可证问题的原因。但是,我想举一个例子说明它是如何 完成的。并且忽略它是不允许的事实,我知道有几个主题/插件开发人员使用这种技术来保护他们的产品(到目前为止没有人遇到过问题)。关于您的另一点:我看不出您如何绕过这种方法。即使您知道 API 密钥与您的 URL 相关联。只要您的所有代码都被混淆,唯一的方法就是知道如何为 URL 构建有效的校验和(也称为 API 密钥)。 PS:另外,问题不在于这样做是否合法,而在于是否可以这样做。 ;)【参考方案2】:

我不这么认为。毕竟,用户必须拥有使用主题的 php 代码,如果他们拥有它 - 他们可能会以不再需要密钥的方式对其进行更改。

【讨论】:

Nikolay,你说得对,用户必须有 php 代码才能使用主题。但他不能拥有您的 php 代码的人类可读副本。看看我的回答,大致了解如何做到这一点。 必须提供人类可读的代码 (***.com/questions/1086445/obfuscation-and-gpl)

以上是关于使用许可证密钥验证保护 wordpress 主题的主要内容,如果未能解决你的问题,请参考以下文章

Python 单机许可证保护

许可证方案、欺骗安全和撤销功能

在 Python 中使用 RSA 公钥验证签名的许可证密钥

java许可证强制执行,创建激活密钥的算法? [关闭]

在单独的表格上验证许可证密钥?

如何保护调用我的 API 的桌面应用程序?