我有一个混合的WordPress插件,可以从主服务器使用curl获取所有数据。我们称之为A.
B是请求数据的客户端,也可以向A发送数据。
现在,每个请求都使用API访问密钥进行加密和身份验证。
但问题是,如果我将插件从B复制到新的客户端站点C,那么当我使用相同的访问密钥等时,插件就会开始工作。
我希望能够将一个API访问密钥的访问权限限制为一个域名。我怎样才能达到这个目标?
答案 0 :(得分:0)
我要说在您的访问密钥管理中包含允许的主机IP地址(B)。
所以:当B拨打电话时,您可以验证密钥及其呼叫的IP。
在A上,您可以使用类似$_SERVER['REMOTE_ADDR']的内容来测试调用脚本的IP。
两个缺点:当网站移动服务器时,插件将停止工作。当然,人们仍然可以欺骗他们的IP,所以有办法解决这个问题,但至少你会让它变得更复杂,并且在大多数情况下可能不值得麻烦。
答案 1 :(得分:0)
TJHX的建议
将其作为您为客户提供的许可的一部分。诚实的人会遵循它,不诚实的人会找到一种方法来打破你的DRM。这是一个技术无法真正解决的问题,特别是当像wordpress这样的人可以看到你的代码时 - TJHX
我也研究过很多选项,但事实上,用户总是可以访问wordpress插件中的代码,即使加密,也可以轻松修改CURL请求标题。 我们所能做的就是将它添加到我们的许可证中。
在我的插件中,有iframe会在前端加载数据,所以当用户购买插件时我会接受域名,并会检查我的iframe的引荐来解决这个问题。
非常感谢你的帮助。