【发布时间】:2019-11-24 12:09:54
【问题描述】:
我有一个关于 Firebase 实例 id 以及我必须保持它的私密性的问题。将其保存在 Firestore 中可公开访问的(所有登录用户)配置文件中是一个好主意,还是将其存储在用户私有文件中会更好? (当然我不想显示 Instance-id,只有我的 Database-Structure 会更好一点)
我希望有人知道通过逆向工程得到它的人可以用它做什么。
【问题讨论】:
标签: firebase
【发布时间】:2019-11-24 12:09:54
【问题描述】:
大部分 Firebase 文档仍将实例 ID 称为 注册令牌。 Firebase Cloud Messaging documentation 是这样说注册令牌的:
注册令牌:标识每个客户端应用程序实例的唯一令牌字符串。单个设备和设备组消息传递需要注册令牌。 请注意,注册令牌必须保密。
但没有进一步解释为什么它必须保密。这个先前关于同一主题的问题给出了一些解释:Why must I keep the registration token secret? 这确实是真的:有权访问您的 FCM 服务器密钥和实例 ID 的人可以代表您发送消息。
【讨论】:
-
所以如果我理解正确的话,除非有人拥有我的 Fcm 服务器密钥,否则实例 ID 是没有用的?