firebase云消息在客户端的安全性如何?
firebase确实提供了客户端sdk和服务器端管理sdk来使用firebase云消息传递。
让我困惑的是:
我们在公共javascript文件或脚本标记中包含客户端初始化代码。是否有人无法查看此初始化凭据并直接向连接到我们的应用程序的设备发送post请求?如果用户不断发送垃圾邮件或恶意通知,该怎么办?整个FCM功能不应该只由AdminSDK提供吗?
我正在为一个项目的nodejs应用程序使用firebase托管,对如何实现FCM感到非常困惑。
firebase通过云消息和通知提供何种身份验证或检查?
在我的Web应用客户端中使用FCM通知的安全性如何?
共有1个答案
永远不要公开在传统FCM中使用的FCM Api密钥。如果您对此感到担心,只需从您的Google云管理控制台为您的项目禁用GCM发布api。
现在,他们的新v1api使用了使用服务器上的服务帐户密钥发布的Oauth令牌。这样就可以停止虐待了。切勿将服务帐户密钥放在可公开访问的位置。您必须在项目的Google云管理控制台中启用此功能。
数据库url、存储桶信息、应用程序id和数据库的apikey可以安全地公开给公众。
例如,在我的网络项目中,点击一个按钮,应该发送通知,我将数据发布到一个Servlet,它实际上具有FCM部分。现在这将防止滥用。
-
我正致力于实现推送通知,出现在更改到Firebase的文件。我使用的是反应原生Firebase模块。我的google云功能会侦听到对火力还原的更改,然后通过Firebase-admin发送消息。 谷歌的参考表明,你可以指定一个单一的设备来发送消息: 客户端在我的反应本地应用程序中,我使用获得令牌: 我是否必须将google cloud消息传递令牌存储在异步存储以外的其他位置,或者是否有办法在我的g
-
问题内容: 最近,我一直在查看Pagedown.js,以在页面上使用mark-down而不是丑陋的只读textareas。 我非常谨慎,因为欺骗已转换的转换器似乎很容易。我已经看到了一些有关Angular.js及其html绑定的讨论,并且在Knockout.js 3.0发布时听到了一些关于html绑定以前不安全的信息。 似乎有人需要做的所有事情来禁用Pagedown.js中的消毒剂,例如- 他们可
-
在文档中,关于为Google Cloud Messaging编写Android部分,描述了两个不同的选项: -使用,和inhttp://developer.android.com/google/gcm/gs.html#android-应用程序 -使用在中编写处理程序http://developer.android.com/google/gcm/gcm.html#writing_apps. 这令人困
-
我尝试使用Firebase云消息查找简单的客户端服务器应用程序。 我使用Nodejs和这个包,但我不知道如何以及在哪里找到客户机令牌? 下面是示例代码:
-
在我的Android应用程序中,我收到使用Firebase发送的消息,问题不是所有消息都到达,有时消息到达非常慢。 在我的服务器端,我跟踪我发送到FCM的消息,我总是收到成功:来自FCM的1个响应,仍然有我在Android应用程序中没有收到的消息。 我认为FCM消息日志在上面描述的情况下会有很大的帮助,但我不确定是否存在此选项。 有办法浏览Firebase消息日志吗?
-
我刚开始使用Firebase云消息。我建了一个IOS应用来接收推送通知。应用程序运行良好。我从Firebase控制台发送消息,它们会正确显示。 我的问题是:我可以向所有设备发送一条消息吗(就像我可以在控制台中做的那样)?我是的,怎么会这样? 提前道谢!