客户端的firebase云消息传递有多安全?
确实,firebase提供了客户端sdk和服务器端admin sdk来使用firebase云消息传递。
令我困惑的是:
我们在公共javascript文件或脚本标记中包含客户端初始化代码。有人看不到此初始化凭据并直接向连接到我们应用的设备发送帖子请求吗?如果用户不断发送垃圾邮件或恶意通知怎么办?难道管理员sdk不能提供整个FCM功能吗?
我正在为我的nodejs应用程序使用firebase托管项目,我对如何实现FCM非常困惑。
firebase通过云消息传递和通知提供哪种身份验证或检查?
在我的网络应用客户端中使用FCM通知的安全性如何?
回答如下:切勿暴露传统FCM中使用的FCM Api密钥。如果您对此感到担心,只需从您的项目的Google云管理控制台中禁用GCM post api即可。
现在,他们的新v1 API使用服务器上使用服务帐户密钥颁发的Oauth令牌。所以这将阻止滥用。切勿将服务帐户密钥放在可公开访问的位置。您必须在项目的Google云管理控制台中启用此功能。
数据库URL,存储桶信息,应用程序ID和db的apikey可以安全地向公众公开。
例如,在我的Web项目中,在按钮点击该应该发送通知的按钮上,我将数据发布到实际上具有FCM部分的Servlet。现在这可以防止滥用。
客户端的firebase云消息传递有多安全?
确实,firebase提供了客户端sdk和服务器端admin sdk来使用firebase云消息传递。
令我困惑的是:
我们在公共javascript文件或脚本标记中包含客户端初始化代码。有人看不到此初始化凭据并直接向连接到我们应用的设备发送帖子请求吗?如果用户不断发送垃圾邮件或恶意通知怎么办?难道管理员sdk不能提供整个FCM功能吗?
我正在为我的nodejs应用程序使用firebase托管项目,我对如何实现FCM非常困惑。
firebase通过云消息传递和通知提供哪种身份验证或检查?
在我的网络应用客户端中使用FCM通知的安全性如何?
回答如下:切勿暴露传统FCM中使用的FCM Api密钥。如果您对此感到担心,只需从您的项目的Google云管理控制台中禁用GCM post api即可。
现在,他们的新v1 API使用服务器上使用服务帐户密钥颁发的Oauth令牌。所以这将阻止滥用。切勿将服务帐户密钥放在可公开访问的位置。您必须在项目的Google云管理控制台中启用此功能。
数据库URL,存储桶信息,应用程序ID和db的apikey可以安全地向公众公开。
例如,在我的Web项目中,在按钮点击该应该发送通知的按钮上,我将数据发布到实际上具有FCM部分的Servlet。现在这可以防止滥用。