怎么实现js混淆加密 每隔一段时间 会失效 需要重新加密使用
js混淆加密 每隔一段时间 会失效,需要重新加密使用
禁用客户端 Date 对象篡改(通过混淆工具禁止 Date 重写,或使用服务端时间戳校验)
注入的时候 添加CLIENT_ID或者macid 代码自动执行的时候去请求服务器鉴权验证
传入一个多余的校验参数,加密的时间 或者flag
解密后 查看flag是否 为true
flag在winform端校验 如果使用过期 就为flasewinform过期校验和脚本注入请求服务器校验 双重校验
暴露定义client变量,加密也能获取变量正常执行 client变量为空校验
服务器当前时间" 和 "凭证过期时间"。
校验令牌有效性(时间 + 签名)
-
令牌需与客户端身份绑定(如设备 ID、用户 ID),防止复用。
-
核心逻辑仅在校验通过后执行。
服务端:生成动态凭证与有效期(关键)
服务端负责生成「时效性凭证」,客户端代码需从服务端获取并校验,避免客户端篡改时间绕过验证。
实现要点:
-
生成 带有效期的令牌 (如 JWT、HMAC 签名令牌),包含
exp(过期时间)字段。 -
令牌需与客户端身份绑定(如设备 ID、用户 ID),防止复用。
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
// 密钥(需保密,可定期更换)
const SECRET = 'your-dynamic-secret-xxxx';
// 令牌有效期(如 1 小时)
const TOKEN_EXPIRY = '1h';
// 获取令牌接口(需登录鉴权,此处简化)
app.get('/api/get-token', (req, res) => {
const clientId = req.query.clientId; // 客户端唯一标识(如设备号)
if (!clientId) return res.status(400).send('缺少客户端ID');
// 生成 JWT 令牌(包含过期时间)
const token = jwt.sign(
{ clientId, exp: Math.floor(Date.now() / 1000) + 3600 }, // 1小时后过期
SECRET
);
res.json({ token, expireAt: new Date(Date.now() + 3600 * 1000) });
});
app.listen(3000, () => console.log('服务端运行中'));客户端:嵌入时间验证与凭证校验
未混淆的核心逻辑示例
// 客户端配置
const SERVER_URL = 'http://localhost:3000';
const CLIENT_ID = 'user-device-123'; // 客户端唯一标识(需设备指纹生成,避免伪造)
// 1. 获取服务端令牌(可缓存,过期前刷新)
async function getServerToken() {
try {
const res = await fetch(`${SERVER_URL}/api/get-token?clientId=${CLIENT_ID}`);
const { token, expireAt } = await res.json();
localStorage.setItem('dynamicToken', token); // 缓存令牌
localStorage.setItem('tokenExpire', expireAt); // 缓存过期时间
return token;
} catch (err) {
throw new Error('获取令牌失败,请检查网络');
}
}
// 2. 校验令牌有效性(时间 + 签名)
function verifyToken(token) {
if (!token) return false;
try {
// 验证签名与过期时间(服务端密钥需与客户端一致?不!客户端不能存密钥!)
// 修正:客户端仅校验时间,签名校验需在服务端(避免客户端密钥泄露)
const payload = jwt.decode(token); // 仅解码(不校验签名,签名在校验接口做)
const now = Math.floor(Date.now() / 1000);
if (payload.exp && payload.exp > now) {
// 时间有效,再请求服务端校验签名(关键:避免客户端篡改令牌)
return fetch(`${SERVER_URL}/api/verify-token`, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ token, clientId: CLIENT_ID })
}).then(res => res.ok);
}
return false;
} catch (err) {
return false;
}
}
// 3. 核心业务逻辑(仅校验通过后执行)
async function runCoreLogic() {
const token = localStorage.getItem('dynamicToken') || await getServerToken();
const isTokenValid = await verifyToken(token);
if (!isTokenValid) {
alert('代码已过期,请更新至最新版本!');
return; // 停止执行核心逻辑
}
// 核心功能代码(如业务逻辑、算法、交互等)
console.log('代码验证通过,执行核心功能...');
// ... 你的业务代码 ...
}
// 初始化执行
runCoreLogic();