服务器验证思路

凉冰粉

写了几个小工具想放出去给别人用，但是又怕被破J，于是想利用服务器来做验证，但是不知道成熟的服务器验证思路是怎么样的，我自己有个想法，是把代码中的某些关键参数放在服务器上，需要调用的时候访问服务器返回参数shuj来完成调用，于是我去租了个阿里云的OSS服务器，但是我看到服务器控制台又想了想，访问服务器需要账号密码，如果我把服务器的账号密码放在程序常量中，那破J的人应该很容易就能得到我的服务器账号密码，这样也不能够达到防破J吧，一直很好奇他们说的接口放在服务器和代码放在服务器运行是怎么个思路，求高手们指点一二

当然有例子参考是最好的，能提供思路也不错

接口互联

用 不可逆算法。用js不可逆算法生成访问服务器接口用的入口令牌（key或token），这个生成的算法关键函数用js进行封装和加密，即使破.解了你的程序，js也不可逆的。拿不到你的服务器接口KEY就无法获取关键数.据。给你写个原理流程：
服务器端：关闭所有外部访问端.口，只开一个80的web访问端.口，以HTTP形式进行收发GET或者POST数.据，并且要加密、
客户端：关键数.据存放于服务器，易语言在自身程序加密的前提下，加密程序中的js，不可逆js加密，然后js中也要判断执行条件，以免被提取js关键函数，js生成请求服务器数.据的KEY。易语言进行GET或者POST请求，带上正确的KEY才能获取数.据。服务器加一个验证机制，错误三次直接封IP，key是随机，自己写算法，用MD5不可逆进行加密、
这样一般人都无法破解。。就算他把你程序逆向了，多次错误请求，你服务器也把他IP封了也拿不到数.据，增加了难度。。、
就算他换IP，他又尝试请求数.据，前提你除了验证正确的KEY，还要验证请求头部参数。都是随机的，只要一个不正确，又封IP，直接让他崩溃到放弃。。

凉冰粉

而且服务器返回的参数shuj是不是会有被拦截的风险呢，感觉服务器验证有点难搞呀

心中的沉默

参数加密，再说服务器通信怎么会把需要服务器的账号密码？

凉冰粉

心中的沉默 发表于 2020-6-16 05:27
参数加密，再说服务器通信怎么会把需要服务器的账号密码？

参数加密的话，服务器返回到本地也需要解密，那么解密的算法被逆向了那不是很难搞，而且普通开发者也搞不出很强的加密算法吧。服务器通信为啥不需要账号密码呢，我把参数放在服务器的文件中，访问这个文件需要账号密码的吧，不然任何人都可以访问的话安全性应该会更低吧。

1191798444

做一个客户Duan和服务端在里面加上各种防破J的代码

心中的沉默

凉冰粉 发表于 2020-6-16 05:33
参数加密的话，服务器返回到本地也需要解密，那么解密的算法被逆向了那不是很难搞，而且普通开发者也搞不 ...

都能逆向破你加密算法了，你怎么防哦

凉冰粉

心中的沉默 发表于 2020-6-16 06:05
都能逆向破你加密算法了，你怎么防哦

主要是普通的开发者没仔细研究过算法，只能是调用一些基础的加密算法，这些普通的算法在那些逆向老手手里应该撑不过三秒吧

心中的沉默

凉冰粉 发表于 2020-6-16 06:13
主要是普通的开发者没仔细研究过算法，只能是调用一些基础的加密算法，这些普通的算法在那些逆向老手手里 ...

你就算自己随便乱写一种加密方法也不是那么好破的，并且你没用过服务器和客户Duan组件？基础的易语言功能，直接用这俩通信双向验证，主要功能在你服务器上，破了客户Duan也没用啊

凉冰粉

心中的沉默 发表于 2020-6-16 06:34
你就算自己随便乱写一种加密方法也不是那么好破的，并且你没用过服务器和客户Duan组件？基础的易语言功能 ...

啊这，我买的是OSS对象存储服务器，貌似不能在服务器上运行程序