私有部署如何避免代码泄露？如何限制服务有效期？

套个虚拟机🐶

如果是 python 可以用 Cython .
如果是 js 只能做混淆了.

这没办法吧 都部署到人家的服务器了, 等个大佬~

写进第三方库依赖里。并且写死。每次续费 重新维护。

不给这些文件的读写权限？

现在都是不在客户端做严格的防护了，而是把部分功能对接你的云端服务器，通过控制服务的可用性来操控客户端的客户端。。。

客户端太难防备了。

你收费高了的话，他总能花钱雇到逆向你加密的人才

授权中心系统，TCP 心跳机制

源码加密的话，python 的话可以转成.so 文件，成本相对低一点，另外有效期可以手写个简单的 license，连外网校验，有限制的话让开个白名单就好。

antd 敢在代码里埋时间炸弹,明文的玩意都没几个人发现,自己偷偷埋检测呗

@initdada #8 别人直接改下代码就好了，而且有些是只内网

usb-key

大软件好搞，用 Client/Server 模式，在本地开个虚拟机跑 Server，主程序和验证程序在里面，用系统账号密码保护，通过接口向 Client 提供服务

小软件就比较难搞，不过混淆加密编译二进制什么的也能打消大部分的破解想法了

考虑云端校验，就是要求外网权限了

@paopjian 这里的问题不是未发生时能不能发现，而是发生后能不能去除。

白盒密码搞起

@efaun #12 你代码都明文的，别人改下就不读取你 usb-key 了

这种私有云情况，如果有条件，走云校验。

如果没有条件，则每次续费下发加密的库文件。库文件最好夹杂业务，越复杂越好。

当然，如果死心塌地的走逆向破解，怎么防都没用。

基本思路是把脚本源代码转换成字节码，再增加一些反逆向的措施就行了。

对于 JS，如果使用 V8 引擎的话，V8 会把 JS 转换成优化过的字节码再运行，那么你可以考虑把这个字节码从 V8 里导出出来，可以去 Google 上搜一下“export bytecode from v8”相关的信息，有手动导出的教程，也有一些现成的工具。

另外也可以考虑转换成 WebAssembly，也就相当于转换成字节码了，只不过不止针对 V8，兼容任何支持 WebAssembly 的引擎。

Python 不了解，但应该也有类似思路的方案。

PHP 可以 Zend 混淆

JS 可以使用 qjsc，上面提到的 webassembly 也是一个方案

Python 可以分发中间码文件