为什么在Flutter/Android客户端上使用FCM服务器密钥是不好的做法？

在Flutter/Android客户端上使用FCM（Firebase Cloud Messaging）服务器密钥是不好的做法，原因如下：

1. 安全性问题：将FCM服务器密钥嵌入到客户端代码中，会增加密钥泄露的风险。如果攻击者获取了密钥，他们可以滥用该密钥发送未经授权的推送通知，或者访问与该密钥相关的其他敏感数据。
2. 难以更新和管理：将服务器密钥硬编码到客户端代码中，意味着每次密钥更新时都需要重新发布和部署应用程序。这样做会增加维护成本，并且可能导致用户无法及时收到推送通知。
3. 缺乏灵活性：将服务器密钥直接嵌入到客户端代码中，限制了对推送通知的灵活控制。如果需要更改推送通知的行为或配置，必须重新发布应用程序，而无法通过服务器端进行动态调整。

相反，推荐的做法是将FCM服务器密钥存储在安全的服务器端，并通过安全的API或其他安全机制将推送通知发送到FCM服务器。这样做的优势包括：

1. 提高安全性：通过将服务器密钥存储在安全的服务器端，可以减少密钥泄露的风险，并确保只有经过授权的服务器才能发送推送通知。
2. 简化密钥管理：将服务器密钥集中存储在服务器端，可以更轻松地进行密钥的更新和管理。无需重新发布应用程序，只需更新服务器端的密钥即可。
3. 灵活性和可扩展性：通过使用服务器端发送推送通知，可以更灵活地控制推送通知的行为和配置。可以根据需要动态调整推送通知的内容、目标和触发条件，而无需重新发布应用程序。

对于Flutter/Android客户端，可以通过与服务器端进行通信，将推送通知的相关信息传递给服务器端，然后由服务器端使用FCM服务器密钥发送推送通知。这样可以确保安全性和灵活性，并提供更好的用户体验。

腾讯云提供了云推送（TPNS）服务，可以作为替代方案来发送推送通知。您可以通过腾讯云云推送服务来实现在Flutter/Android客户端上的推送通知功能。详情请参考腾讯云云推送产品介绍：https://cloud.tencent.com/product/tpns