我有一个终极的办法：把你的客户端变成 VNC，所有逻辑和 UI 在服务器上跑。这样他也没法把几个账号复用了，因为同一个账号同时只能有一个人能正常操作，账号复用多个人同时操作要打架了。

如果你内容是纯静态的（比如文字），你还可以把屏幕转成视频直播，然后套上第三方支持 TrustZone 等的硬件级 DRM，这样抓屏都很困难，就不可能转给别人用。

如果你不舍得服务器资源，那可以简单一点，UI 在客户端渲染，但是 UI 逻辑全部在服务端，就是说所有用户的输入（比如坐标，事件类型）都是传到服务器，服务器计算 UI 要怎么更新，再发到客户端渲染，Java 里全部可以通过反射和 proxy 实现。然后你要限制比如说用户最快每秒点一次（因为点快了也来不及处理），他就很难复用账号了。

你还可以在内容 /UI 中加入一些识别是不是同一个人使用的验证，比如每过一段时间就要用户选则哪个操作是用户最近做过的才能继续（类似淘宝验证），账户复用的话，用户是不知道其他用户都做了什么的。

还可以恶心共享账户的人，比如强制绑定一个支付渠道，然后设置一些内付几毛钱才能使用的功能。

如果你觉得最终用户不知道他们是下了假的软件，可以偶尔把正常内容替换成验证信息，比如软件是授权给谁，举报账号复用有奖等。