firebase提供了使用firebase云消息传递的客户端sdk和服务器端admin sdk,这是真的。
令我困惑的是:
我们在公共javascript文件或脚本标记中包含客户端初始化代码。有人看不到此初始化凭据并直接向连接到我们应用的设备发送帖子请求吗?如果用户不断发送垃圾邮件或恶意通知怎么办?难道管理员sdk不能提供整个FCM功能吗?
我正在为我的nodejs应用程序使用firebase托管进行项目,并对如何实施FCM感到困惑。
firebase通过云消息传递和通知提供哪种身份验证或检查?
在我的网络应用客户端中使用FCM通知的安全性如何?
答案 0 :(得分:1)
永远不要公开您在旧版FCM中使用的FCM Api密钥。如果您对此感到担心,只需从您的项目的Google云管理控制台中禁用GCM post api。
现在,他们的新v1 API使用您服务器上使用服务帐户密钥颁发的Oauth令牌。所以这将阻止滥用。切勿将服务帐户密钥放在可公开访问的位置。您必须在项目的Google云管理控制台中启用此功能。
数据库URL,存储桶信息,app id和db的apikey可以安全地向公众公开。
例如,在我的web项目中,在一个应该发送通知的按钮单击上,我将数据发布到实际上具有FCM部分的Servlet。现在这可以防止滥用。