服务器机器中的不安全 WAR

Question

我将在服务器计算机中部署我的 web 应用程序 (WAR)。但是，服务器计算机在客户端手中，他们获取数据库转储（以便可以创建新数据），并且可以从 tomcat webapp 目录复制 WAR 文件。操作系统是Windows。如果他们能够复制我的 WAR 并创建数据库，他们就可以在其他地方使用它。我该如何保护这个？ JNI？还有别的事吗？如果是 JNI，聪明的方法是什么？

Answer 1

说真的，如果您不能信任运行您的软件的服务器的人员，那么就没有可行的技术解决方案可以防止他们窃取它并在其他地方运行它。

所有已知的技术“修复”（例如混淆、加密类、许可证管理器、“call home”等）只会让坏人变得更加困难。他们都可以相对容易地被击败。 IMO，它们不值得您付出努力以及它们给您和/或您的客户带来的随之而来的技术问题。

最好的方法是合法的：

• 让你的律师帮助你与客户起草一份合同，明确禁止他们对你的软件进行逆向工程、修改它、以你不想要的方式运行它，等等让

• 让客户同意合同。

• 监控他们在做什么（在你可以的范围内），如果他们看起来违反了合同......起诉他们。

即使这并不能保证，但它应该会让你的客户重新考虑偷你的东西。

Answer 2

可能的解决方案：

1. 使用代码混淆库。如果他们尝试反编译代码（如果他们需要更改任何内容），这将使代码看起来很复杂。这通常是您需要购买的软件，有时当您在调试实时系统时尝试查看异常时，它会让事情变得复杂。
2. 在代码中包含检查，以防止应用程序运行，以防找不到某些“隐藏”环境变量（或其他变量）。
3. 与您的客户签订一份合同，明确禁止他在其他地方窃取和使用您的应用程序/代码。

解决方案#3 是最常见的。