我读过几篇关于为桌面浏览器实现网络推送通知的介绍性文章,但我无法理解在后端服务器上存储从用户浏览器获得的订阅背后的安全部分。
有许多网站请求允许向您发送推送通知,而无需先在这些网站上进行身份验证/注册。如果我授予他们权限,他们会将此权限字符串存储到后端服务器上以备日后使用,谁会说我不会生成另一个订阅字符串并将其发送到他们用于保存我的订阅的后端服务器的endpoint?因此,他们的数据库中充斥着订阅条目。
当网站上没有可用的用户身份验证/注册时,后端服务器上接收到的订阅的识别和验证机制是什么?
为了更好地说明:
网站JS代码向浏览器请求推送权限-
经过大量阅读和咨询一个流行的网络推送通知服务后,我确认,当使用通知服务的网站上没有可用的身份验证时,确实有可能用伪造的订阅URL淹没后端服务器的数据库。
防御此类攻击的方法与防御agianst DDoS攻击的方法类似:IP过滤、手动删除数据库条目等。
我有一些关于实现推送通知的问题。事情是, > 订阅对象中的所有数据都是必需的吗?或者只有终点。 如果用户登录的设备超过10台,我是否需要为每个设备存储订阅值?是这样的吗?还是应该存储上次登录设备的订阅值?如果是这样,那么其余9个将不会收到任何通知。 如果您正在存储所有loggedin设备的订阅值,那么用户是否登录了多个浏览器?他会在每个浏览器中收到通知吗?这是标准做法吗? 欢迎提出建议,任何标准做
首先,我想声明我一直在研究推送通知和web通知之间的关系,但我有点困惑。 我从这里读到PWAs的推送通知在Safari上的iOS(iPhone)不起作用:从PWA向iOS发送推送通知 然而,如果iPhone用户使用的是Chrome,这是否意味着它们可以工作呢?或者推送通知在任何浏览器上对iPhone中的PWAs都不起作用? 这就把我带到了web通知。web通知在后台对PWAs起作用吗?我的问题是w
但却导致了同样的错误。
我想实现的目标: 将移动安全测试更改为自定义安全测试,以实现消息推送。 我试过: 根据此链接,在authenticationConfig.xml中 如果我们使用此移动安全测试代码: 相当于: 问题: 然而,在我将其从mobileSecurityTest代码更改为自定义安全测试后,我遇到了以下错误: [错误]FWLST0003E: ========= 启动项目 /EventSourceNotific
使用NodeJS中的包实现Amazon SNS消息推送到android设备。我下面提到了几个实现。移动设备正在显示推送通知。我想在有效负载中发送数据和通知对象。 它不发送推送通知。 它正在发送推送通知。 发送推送通知的正确格式是什么?
我一直在和Redis和Faye玩一个我正在构建的系统。我仍然不确定它们是否是我具体应用的最佳选择。 我的目标 每个用户都可以向频道/主题发布消息,并从他订阅的主题接收消息。主题必须具有层次结构(即主题“B”是主题“a”的子主题,因此我们有一个“a”)- 用户应该使用推送通知(Android/苹果)在手机上接收通知。 我想做的 我试图通过向层次结构的所有通道发布消息来模拟层次结构。假设我们有这样的等