内容简介:翻github和Stack Overflow,发现对Electron源码保护方案讨论由来已久。
翻github和Stack Overflow,发现对Electron源码保护方案讨论由来已久。
总结下来,官方并没有打算提供解决方案。作者们认为,无论用什么形式去加密打包文件,密钥总归是需要放置在包里的。。
继续翻,国内论坛上一些大佬有尝试解决过这个问题,是从asar打包这块切入,然而,并没有看懂。。
简单理解下大佬的思路:对asar源码进行分析,在 asar 打包时写入文件之前, 通过加密算法把写入的文件进行加密;在asar.js读取文件处添加对应文件解密算法;同时对asar文件头部 json 进行加密,使得官方的 asar 就没法解包了。
思路我是看懂了,怎么下手完全不知。有兴趣的童鞋可以主动去留言询问。。
addons封装核心代码
electron issue里有人提出可以利用nodejs的addons来封装核心代码。addons是nodejs实现跨平台调用原生代码的插件,因为保护源码的主要目的是为了提高安全性,将数据库密钥等关键字段存储在原生代码中,提高破解门槛。
实现
C++语法基本忘光了,先实现一个简单业务练练手:JS传入用户信息对象,C++读取对象,处理后,返回数据库对应的密钥。
Nodejs与C++之间的类型转换由V8 API提供,具体可参考 Node.js 和 C++ 之间的类型转换 。
// key.cc #include <node.h> namespace key { using v8::FunctionCallbackInfo; using v8::Isolate; using v8::Local; using v8::NewStringType; using v8::Object; using v8::String; using v8::Value; void GetKeys(const FunctionCallbackInfo<Value>& args) { Isolate* isolate = args.GetIsolate(); // 判断js传递的参数是否为对象 if (!args[0]->IsObject()) { printf("not Object\n"); } // 新建对象,将cfg和id绑定到对象 Local<String> cfgKey = v8::String::NewFromUtf8(isolate, "testxxx"); Local<Object> keyObj = v8::Object::New(isolate); keyObj->Set(v8::String::NewFromUtf8(isolate, "cfgKey"), cfgKey); // 读取js传递的对象 Local<Object> userObj = Local<Object>::Cast(args[0]); Local<Value> id = userObj->Get(String::NewFromUtf8(isolate, "id")); keyObj->Set(v8::String::NewFromUtf8(isolate, "id"), id); args.GetReturnValue().Set(keyObj); } void GetUidByUserInfo(const FunctionCallbackInfo<Value>& args) { Isolate* isolate = args.GetIsolate(); Local<Object> userObj = Local<Object>::Cast(args[0]); Local<Value> id = userObj->Get(String::NewFromUtf8(isolate, "id")); args.GetReturnValue().Set(id); } void Initialize(Local<Object> exports) { NODE_SET_METHOD(exports, "getKey", GetKeys); NODE_SET_METHOD(exports, "getUserKey", GetUidByUserInfo); } NODE_MODULE(NODE_GYP_MODULE_NAME, Initialize) } 复制代码
key.cc
中暴露了两个简单的方法,分别是获取所有key的对象和获取单独用户的key,当然,这里只是简单的业务逻辑展示。在Nodejs Addons中,接口是通过这种模式的初始化函数:
void Initialize(Local<Object> exports); NODE_MODULE(NODE_GYP_MODULE_NAME, Initialize) 复制代码
NODE_GYP_MODULE_NAME
,是在binding.gyp中设定的模块名称。Nodejs不能直接调用C++文件,需要先通过node-gyp将其编译为二进制文件,binding.gyp则是类似JSON格式的构建配置文件。在根目录下新建该文件:
{ "targets": [ { "target_name": "dbkey", "sources": [ "key.cc" ] } ] } 复制代码
安装好node-gyp和相关依赖。先后输入命令 node-gyp configure
, node-gyp build
成功后,生成build目录,得到二进制文件dbkey.node。
然后,我们写个js测试下。
const dbKey = require('./build/Release/dbkey'); const userInfo = { id: '123456', }; console.log(dbKey.getKey()); // { cfgKey: 'testxxx', id: '123456' } console.log(dbKey.getUserKey(userInfo)); // 123456 复制代码
通过require(),我们就可以调用C++模块。
但此时的dbkey.node并不能直接扔进electron中使用,我们需要用electron相关头文件对该插件进行重编译。
node-gyp rebuild --target=1.7.11 --arch=x64 --target_platform=darwin --dist-url=https://atom.io/download/atom-shell
根据你的electron版本号(target)和平台(target_platform)分别重编译。
ps. 因为Nodejs版本很多,其V8 API也不完全一致,C++逻辑建议使用 NAN ,NAN对V8 API做了封装,使我们不用关心版本问题。我们项目中使用的Native模块,如canvas,sqlite等,其源码也都是使用NAN。
总结
利用C++ Addons封装核心业务代码,能一定程度提升源码的安全性。但需要修改之前的打包流程,开发调试上也会带来一些不便。还是看业务上如何取舍吧。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- Eureka 源码剖析(六):自我保护机制
- 使用Spring Security和JWT保护REST API实战源码
- 使用Keycloak保护Spring Boot Admin和Actuator的案例源码
- 保护自己源码的能力都没有?还拿法律说事……这种观点好可怕
- 某游戏DLL保护分析,以及偷学一点Unity代码保护思路
- 07简单进程保护
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
程序员的算法趣题
[ 日] 增井敏克 / 绝 云 / 人民邮电出版社 / 2017-7 / 55.00元
本书是一本解谜式的趣味算法书,从实际应用出发,通过趣味谜题的解谜过程,引导读者在愉悦中提升思维能力、掌握算法精髓。此外,本书作者在谜题解答上,通过算法的关键原理讲解,从思维细节入手,发掘启发性算法新解,并辅以Ruby、JavaScript等不同语言编写的源代码示例,使读者在算法思维与编程实践的分合之间,切实提高编程能力。 本书适合已经学习过排序、搜索等知名算法,并想要学习更多有趣算法以提升编程技巧......一起来看看 《程序员的算法趣题》 这本书的介绍吧!