【发布时间】:2018-06-09 07:59:17
【问题描述】:
确实,firebase 提供了客户端 sdk 和服务器端 admin sdk 来使用 firebase 云消息传递。
让我困惑的是:
我们将客户端初始化代码包含在公共 javascript 文件或脚本标记中。有人看不到这个初始化凭证并直接向连接到我们应用程序的设备发送发布请求吗?如果用户不断发送垃圾邮件或恶意通知怎么办?整个 FCM 功能不应该只由 admin sdk 提供吗?
我正在为一个项目的 nodejs 应用程序使用 firebase 托管,并且对如何实施 FCM 感到很困惑。
Firebase 通过云消息传递和通知提供什么样的身份验证或检查?
在我的网络应用客户端中使用 FCM 通知的安全性如何?
【问题讨论】:
-
使用 FCM 发送消息需要您指定所谓的 FCM 服务器密钥,该密钥(顾名思义)并不意味着公开。 FCM 服务器密钥不是客户端配置数据的一部分。客户端初始化需要公开的配置数据。
标签: javascript node.js firebase server firebase-security