php - मैं अपने प्लगइन को सुरक्षित कैसे कर सकता हूं इसलिए केवल इसका उपयोग करने वाले उपयोगकर्ता इसका उपयोग कर सकते हैं?




wordpress code-access-security (4)

मैं कुछ (वर्डप्रेस) प्लगइन्स विकसित कर रहा हूं और मैं इसके लिए एक लाइसेंस शुल्क रखने की योजना बना रहा हूं जो इसे इस्तेमाल करना चाहते हैं।

इसके लिए मुझे यह सुनिश्चित करने के लिए एक तरीका है कि यह प्लगइन एक सर्वर पर अपलोड नहीं किया गया है, जहां कोई भी इसे डाउनलोड कर सकता है और इसे निःशुल्क उपयोग कर सकता है

इसलिए मैं एक एपीआई कुंजी का उपयोग करने के बारे में सोच रहा था। मान्य API कुंजी = उपयोगकर्ता प्लगइन का उपयोग कर सकते हैं अमान्य = प्लगइन काम नहीं करता है

मैंने इस पोस्ट को PHP एपीआई कुंजी जेनरेटर पर देखा है लेकिन मुझे इसके बारे में ज्यादा समझदार नहीं मिला।

मुझे यह भी पता है कि चूंकि यह PHP है, कोई भी कोड में जा सकता है और एपीआई चेक अक्षम कर सकता है (मैं बस अनुमान लगा रहा हूं)

मेरे प्लगइन को सुरक्षित करने का सबसे अच्छा तरीका क्या है? एपीआई कुंजी? दूसरा तरीका? क्या किसी विषय पर किसी भी अच्छे ट्यूटोरियल से लिंक है?


एक महान लेख यहां पाया जा सकता है, हालांकि इस तकनीक को न सिर्फ कुछ चीज़ों को ध्यान में रखते हुए ध्यान में रखते हैं इससे पहले कि आप आगे मार्ग का पीछा करते हैं http://www.littlehart.net/atthekeyboard/2007/07/20/protecting-your- php-कोड /

हालांकि आपके प्रश्न का अधिक सीधा जवाब देने के लिए, एपीआई कुंजी प्रणाली का उपयोग करें और फिर ज़ेंड गार्ड की तर्ज पर कुछ का उपयोग करके अपने PHP को एन्कोड करें, ताकि उपयोगकर्ता एपीआई कुंजी चेक को हटा न सके, क्योंकि कोड एन्कोडेड है।


एपीआई कुंजी का इस्तेमाल करना शायद ठीक है आप अपने प्लग-इन को छेड़ने वाले लोगों के बारे में चिंता नहीं कर सकते हैं, क्योंकि इससे कोई फर्क नहीं पड़ता कि आप क्या करते हैं। आपकी एपीआई जांच को निकालने के लिए कोई भी व्यक्ति आपके स्क्रिप्ट में जो भी सुरक्षा रखता है, उसे हटाने के लिए पर्याप्त है। आप इन लोगों के बारे में चिंता नहीं कर सकते

ज़ेंड गार्ड जैसे उत्पादों का उपयोग करना एक विकल्प नहीं है इसके लिए अंतिम उपयोगकर्ता को अपने सिस्टम पर ज़ेंड ऑप्टिमाइज़र स्थापित करने की आवश्यकता है, और आप इसकी गारंटी नहीं दे सकते।

जो भी कहा जा रहा है, वैसे भी आप अपने स्रोत कोड को अस्पष्ट नहीं कर सकते हैं या अन्यथा छिपा सकते हैं। Wordpress जीपीएल लाइसेंस के तहत लाइसेंस प्राप्त है, और वे कड़ाई से प्लगइन्स को किसी भी अन्य लाइसेंस के होने से मना करते हैं जब आप प्लग इन बेच सकते हैं, तो आप सोर्स कोड छुपा नहीं सकते।


मैं आपका प्लगइन अपने स्वयं के सर्वर से संपर्क करने पर निर्भर करता है , एपीआई कुंजी गैर-भुगतान वाले उपयोगकर्ताओं को इसका उपयोग करने से रोकने के लिए एक शानदार तरीका है।
हालांकि अगर इसे आपके सर्वर से इंटरैक्ट करने की ज़रूरत नहीं है, तो कोई भी थोड़ी सी पी.पी.ए.एस. ज्ञान आपके एपीआई कुंजी को हटाने के लिए प्लगइन को संशोधित कर सकता है।

यहां एक प्रमुख मुद्दा आपके प्लगइन के लिए लाइसेंस है। वर्डप्रेस जीपीएल है, और जीपीएल में एक खंड है जिसके लिए जीपीएल के अंतर्गत लाइसेंस प्राप्त करने के लिए 'व्युत्पन्न कार्य' की आवश्यकता होती है। (यह एक ख़ास ख़राब है: वास्तव में, संपूर्ण जीपीएल उस खंड के आसपास आधारित है और इसके बिना वास्तव में काम नहीं करेगा।)
इस बारे में काफी तर्क है कि क्या किसी प्लगिन को 'व्युत्पन्न कार्य' माना जा सकता है। मेरी राय में ऐसा नहीं है, और मुझे लगता है कि इसे एक के रूप में देखा जाने के लिए मजबूर करने के लिए अनैतिक है। हालांकि, ऑटोमेटिक, कोर वर्डप्रेस देव, और फ्री सॉफ्टवेयर फाउंडेशन (संगठन जो जीपीएल को लिखा था) का दावा है कि वर्डप्रेस प्लगइन्स कानूनी रूप से जीपीएल का उपयोग करने के लिए बाध्य हैं और अन्य लाइसेंस का उपयोग नहीं कर सकते हैं।
अब तक कोई अदालती मामला नहीं है और इसलिए कोई मिसाल नहीं है, लेकिन जीपीएल का इस्तेमाल न करने वाले कुछ प्रमुख वर्डप्रेस प्लगइन्स के आसपास काफी दुश्मन है, और प्लग-इन डेवलपर ने कहा है कि जब ऑटोमेटिक ने मूल रूप से कानूनी कार्रवाई की धमकी दी है, "कृपया मेरे पर मुकदमा कर दो"। वास्तव में एक सुंदर परिस्थिति नहीं है, और मैं कहूंगा कि स्थिति की नैतिकता के बावजूद, तथ्य यह है कि नकारात्मक प्रचार सामान्य रूप से एक प्लग-इन को बंद करने के लाभों से अधिक हो जाता है।

संक्षेप में: आपके प्लगइन को मूल रूप से जीपीएल होना चाहिए, जिसका अर्थ है कि आपको बिना एन्क्रिप्ट किए गए स्रोत कोड देना होगा, ताकि कोई भी आपके द्वारा जोड़े गए कोई भी प्रतिबंध हटाने के लिए आपके प्लग इन को संशोधित कर सके। लेकिन आपके लिए अपने संभावित ग्राहकों में से एक को मंच से खरीदने के बजाय प्लगिन खरीदने की इच्छा के साथ बात करना आसान होना चाहिए - आप लाभ, जैसे कि समर्थन, अपग्रेड, इत्यादि आदि की पेशकश कर सकते हैं, जो संभवत: एक के लिए उपलब्ध नहीं होंगे "फटा" संस्करण

ऐसी अनेक कंपनियां हैं जो सफलतापूर्वक जीपीएल के तहत और कोई सुरक्षा (एपीआई कुंजी आदि) के साथ प्लग इन बेचते हैं। हालांकि कोई भी सिद्धांत में प्लगइन डाउनलोड कर सकता है और इसे किसी सार्वजनिक साइट पर अपलोड कर सकता है, जिससे किसी को भी इसे डाउनलोड किया जा सकता है, प्रैक्टिस में कोई भी अनौपचारिक संस्करण का उपयोग करना चाहेगा जो वर्डप्रेस के नये संस्करणों के लिए अद्यतन नहीं होगा। इसलिए किसी भी तरह की सुरक्षा के बिना भी प्लग इन बेचने का एक व्यावहारिक व्यवसाय मॉडल लगता है।

बेशक, ये सब मानते हैं कि कोई व्यक्ति आपके प्लग इन का सिर्फ इतना काटा नहीं करता है और पॉड को अलग से कोडबेस बनाए रखता है। आप उस बारे में बहुत कुछ नहीं कर सकते - लेकिन ऐसा होने की संभावना नहीं है।

यदि आपके प्लगइन को पुनर्वितरित करने का निर्णय लेने वाले किसी के लिए आप जीवन को कठिन बनाने की कोशिश कर रहे हैं, तो आप निम्न पर विचार करना चाह सकते हैं:
- आप अब भी अपने प्लगइन के नाम पर ट्रेडमार्क अधिकारों का दावा कर सकते हैं, भले ही प्लगइन स्वयं खुले स्रोत हो, तो आप कानूनी तौर पर उसी नाम का उपयोग करने से रोक सकते हैं जो आपके ग्राहक जानते हैं
- एक प्लगइन में केवल PHP कोड ही होना चाहिए - आप किसी भी फाइल को वितरित कर सकते हैं, जिसमें PHP शामिल नहीं है, जो कि पुनर्वितरण को मना करने के लिए एक अलग लाइसेंस के तहत वर्डप्रेस के साथ संपर्क करता है। उदाहरण के लिए, सीएसएस, जावास्क्रिप्ट, और इमेजेस जीपीएल के तहत नहीं हैं।


मैं वास्तव में इन के बारे में सोच रहा हूँ लेकिन यह जीपीएल है और हम अपने कोड छिपा नहीं सकते हैं। मुझे लगता है, हमें एपीआई कुंजी प्रणाली को पढ़ने के लिए और अधिक जटिल करना होगा मैं यह करने के लिए सोच रहा हूँ। लेकिन इसे निकालने का एक तरीका है अगर अन्य सिस्टम दुर्भाग्य से अगर यह खुला स्रोत है आप उदाहरण के लिए देख सकते हैं: PHP एईएस एन्क्रिप्ट / डिक्रिप्ट





api-key