为什么在Flutter/Android客户端上使用FCM服务器密钥是不好的做法?
在Flutter/Android客户端上使用FCM(Firebase Cloud Messaging)服务器密钥是不好的做法,原因如下:
- 安全性问题:将FCM服务器密钥嵌入到客户端代码中,会增加密钥泄露的风险。如果攻击者获取了密钥,他们可以滥用该密钥发送未经授权的推送通知,或者访问与该密钥相关的其他敏感数据。
- 难以更新和管理:将服务器密钥硬编码到客户端代码中,意味着每次密钥更新时都需要重新发布和部署应用程序。这样做会增加维护成本,并且可能导致用户无法及时收到推送通知。
- 缺乏灵活性:将服务器密钥直接嵌入到客户端代码中,限制了对推送通知的灵活控制。如果需要更改推送通知的行为或配置,必须重新发布应用程序,而无法通过服务器端进行动态调整。
相反,推荐的做法是将FCM服务器密钥存储在安全的服务器端,并通过安全的API或其他安全机制将推送通知发送到FCM服务器。这样做的优势包括:
- 提高安全性:通过将服务器密钥存储在安全的服务器端,可以减少密钥泄露的风险,并确保只有经过授权的服务器才能发送推送通知。
- 简化密钥管理:将服务器密钥集中存储在服务器端,可以更轻松地进行密钥的更新和管理。无需重新发布应用程序,只需更新服务器端的密钥即可。
- 灵活性和可扩展性:通过使用服务器端发送推送通知,可以更灵活地控制推送通知的行为和配置。可以根据需要动态调整推送通知的内容、目标和触发条件,而无需重新发布应用程序。
对于Flutter/Android客户端,可以通过与服务器端进行通信,将推送通知的相关信息传递给服务器端,然后由服务器端使用FCM服务器密钥发送推送通知。这样可以确保安全性和灵活性,并提供更好的用户体验。
腾讯云提供了云推送(TPNS)服务,可以作为替代方案来发送推送通知。您可以通过腾讯云云推送服务来实现在Flutter/Android客户端上的推送通知功能。详情请参考腾讯云云推送产品介绍:https://cloud.tencent.com/product/tpns
相关·内容
1回答
为什么在Flutter/Android客户端上使用FCM服务器密钥是不好的做法?
flutter、security、dart、server、firebase-cloud-messaging
我想使用Firebase Cloud Messaging (FCM)服务器密钥从我的Flutter应用程序发送消息。但有人告诉我,这是一种糟糕的做法,应该在服务器端完成。但是,由于APK中的代码对用户是不可见的,为什么这是一个安全问题?void send() async { 'https:/
浏览 14提问于2021-03-27得票数 1
回答已采纳
1回答
如何发送推送通知使用FCM和颤振(一个到另一个设备)?
firebase、flutter、firebase-cloud-messaging
我已经开发了一对一聊天系统在颤振,并希望发送推送通知到另一个设备使用FCM。 print("IOS"); @required String fcmToken, client.p
浏览 0提问于2019-06-08得票数 3
回答已采纳
1回答
GCM会在旧客户端使用GCM后给出新的令牌吗?
android、google-cloud-messaging、firebase-cloud-messaging
截至2018年4月10日,谷歌已经不再支持GCM,根据这些文件,谷歌将在2019年4月11日前停止对GCM的支持。关于这个话题有很多问题,有人提到旧令牌将继续适用于现有用户,但我的问题是,新用户是否能够在4月11日后使用GCM获得新令牌?因此,基本上我有一个用旧的gcm代码库发布的应用程序,使用旧版本的google服务,分布在另一个市场(而不是play Store)。到目前为止,安装得到了它们的GC
浏览 0提问于2019-01-20得票数 9
2回答
Firebase:用于推送通知的Javascript SDK?
javascript、parse-platform、firebase、firebase-notifications
新版本的Firebase支持推送通知。
我们可以通过Firebase GUI控制台发送通知。因为目前我使用Firebase作为通知的后端和解析服务器。我只想使用Firebase。
浏览 0提问于2016-05-27得票数 0
1回答
如何在Security 5中使用同步API调用处理OAuth2访问令牌刷新
spring-boot、oauth-2.0、keycloak、spring-webflux、spring-cloud-gateway
我们使用Spring (SpringBoot2.4.6),它使用SpringSecurity5和其中的Weblux/ reactive来提供OAuth2安全性和Keycloak作为IDP。SecurityWebFilterChain是通过以下方式设置的: * Enable oauth2 authentication on all requests, but use our customhttp.addFilterBefore(keyclockLogin, SecurityWe
浏览 13提问于2022-09-17得票数 1
1回答
我可以在同一个服务器的多个OpenVPN隧道中使用相同的客户端证书吗?
vpn、openvpn、certificate
我有这样一个简单的设置:在服务器上,我已经为客户端设置了带有服务器证书的OpenVPN。在客户端上,我已经设置了OpenVPN来使用它的密钥与服务器联系,这是很好的。现在,我想在具有不同设置的服务器和客户机之间设置另一个Ope
浏览 0提问于2015-05-16得票数 2
回答已采纳
1回答
如果我只对控制台和服务器端进行更改,GCM令牌在2019年4月11日之后是否有效?
android、firebase、google-cloud-messaging、firebase-cloud-messaging
我在一个遗留系统上工作,大多数android客户端都使用Google消息云。从2019年4月起,GCM将被完全移除。如果我只将服务器端迁移到FCM,我的旧android客户端上的GCM令牌是否可以工作?我在FAQ中看到FCM确实支持GCM令牌,但我搞不懂它是只支持到2019年4月11日,还是不确定?
浏览 0提问于2019-01-09得票数 0
1回答
在Android Studio上使用Smack构建XML流消息
android、xml、xmpp、smack、firebase-cloud-messaging
我看到我的连接从谷歌得到了一个streamId,因为我在我的Android Studio IDE上记录了这条消息: Log.d("MyStreamId","Ddd:"+ connection.getStreamId现在,根据这个链接:必须有某种类型的通信交换,以便验证我的“应用服务器”和谷歌的CCS之间的连接。我正在尝试开始使用XML格式化的通信。:clien
浏览 2提问于2016-07-04得票数 0
2回答
如何确保只有我的应用程序才能注册和接收FCM发送的消息?
android、ios、firebase、firebase-cloud-messaging
当向该项目添加应用程序时,FCM会自动生成一些凭据,例如服务器密钥以及安卓和iOS客户端密钥。对于Android,我可以下载并使用google-services.json文件来设置客户机,即注册FCM令牌并接收推送消息。但是,如何限制这一点,以便只有我的应用程序才能接收这些消息?我认为这将是(自动创建的) Android客户端API密钥,因此为了
浏览 1提问于2018-08-26得票数 1
回答已采纳
1回答
多个FCM发件人:在移动应用程序上以编程方式加载发件人ID和服务器密钥
firebase、google-cloud-messaging、apple-push-notifications、firebase-cloud-messaging、google-play-services
作为解决方案的一部分,我们在每个客户站点部署了一个FCM“应用服务器”。每个客户站点需要生成他们自己的发送者id和服务器id,以便与我们的应用程序一起使用。默认的FCM实现将发件人ID和服务器密钥放在plist (iOS) / json (Android)中,在编译时集成到应用程序代码中。但是,由于我们有多个当前<em
浏览 2提问于2017-04-25得票数 0
回答已采纳
1回答
编译时变量在flutter中是安全的吗?
flutter、dart、security
我有一些敏感数据(api密钥)要存储在客户端的应用程序中,我知道存储这种信息是一种不好的做法,但目前还没有可行的替代方案,如果这样的密钥被泄露,我已经在篡改可能出现的问题,但我想知道在编译时在构建中编码这样的密钥是否安全,在反编译代码的情况下,即使混淆了,检索编译时变量是否更
浏览 22提问于2021-09-27得票数 2
回答已采纳
1回答
在客户端代码中使用FCM服务器密钥的替代方案是什么?
android、firebase、google-cloud-firestore、firebase-cloud-messaging
我已经构建了一个android应用程序,使用Firebase Cloud Messaging将用户通知发送给用户,我已经在客户端代码中包括了FCM服务器密钥。最近,我了解到这是一个安全风险,可能存在恶意攻击,攻击者可以使用该FCM服务器密钥发送消息(如果他知道的话)。我正在寻找同样的选择,你能指导我吗?
我正在使用本教程的
浏览 2提问于2019-10-27得票数 0
2回答
发件人身份证是私人的吗?
android、google-cloud-messaging
我有一个使用GCM推送通知的开源公共应用程序。要注册推送,发送者ID被放置在源代码中。可以公开这个发件人的ID吗?发件人ID应该保密吗?如果我的发件人身份证暴露了,还有什么不好的事情吗?
浏览 2提问于2016-08-13得票数 0
回答已采纳
1回答
在Ruby on rails中使用FCM为web应用程序推送通知
ruby-on-rails、push-notification、firebase-cloud-messaging、web-push
我之前使用FCM for android应用程序处理过推送通知。从Firebase控制台中,我获得了服务器密钥,当预期通知将被发送时,我的后端程序将命中该密钥。此外,我还可以轻松地从控制台(在客户端)获取设备令牌,服务器将向其发送推送消息。 现在,我想以类似的方式使用FCM实现web推送通知。不幸的是,找不到使用ruby
浏览 45提问于2021-09-04得票数 1
1回答
如果我使用ARC (高级REST )发送FCM通知,它将无法工作。
android、firebase、push-notification、firebase-cloud-messaging
我将推送通知系统与Firebase集成在我的项目中,除了一件事外,它运行得很好。
如果我尝试使用设备令牌和主题从Firebase控制台发送通知,通知将显示在设备中。如果我尝试使用设备令牌从ARC (预先REST客户端)发送通知,通知将显示在设备中。如果我试图使用我的主题从ARC (预先REST客户端)发送通知,什么都不会发生。Requested URL : https://fcm
浏览 2提问于2017-02-14得票数 0
回答已采纳
1回答
跨主要浏览器和移动设备发送和接收推送通知
push-notification、service-worker
在遵循本指南中:<script src="https://www.gstatic.com/firebasejs/4.1.3function(err) { });</script>
我获取了客户
浏览 13提问于2017-07-03得票数 3
回答已采纳
2回答
如何同时处理“web推送”和“fcm推送”节点包?
node.js、google-cloud-messaging、firebase-cloud-messaging、web-push、vapid
我一直试图使用Firebase消息和一些节点包来建立一个web推送通知服务器/客户端架构。在经历了多次教程之后,我真的很困惑。我尝试了“网络推送”节点包,但它需要GCM键,正如谷歌宣布的,GCM正在转向FCM。所以,我看了另一个叫做"fcm-push“的包,但是它不支持乏味。我甚至不知道为什么要单独使用乏味的东西。所以,我会在这里提出一些直接的问题-
<em
浏览 1提问于2017-06-27得票数 2
回答已采纳
1回答
我是在c#还是google云平台上运行函数?
c#、android、firebase、firebase-cloud-messaging
当我的防火墙实时数据库发生变化时,我希望向用户发送一个通知。我已经在我的Xamarin.Android应用程序中设置了FCM。不过,我对Firebase非常陌生,所以我对数据库触发器是如何工作的感到有点困惑。() 在TypeScript中编写代
浏览 2提问于2021-05-24得票数 0
回答已采纳
2回答
我不清楚为什么SSH密钥身份验证需要保存在服务器上的公钥。通常所涉及的步骤是:公钥保存在服务器上,私钥被客户端用于执行身份验证。我从未见过这样的解决方案:保存在客户端上的公钥
我认为最后一种解决方案是<
浏览 0提问于2018-07-08得票数 1
2回答
我需要保护我的防火墙服务器密钥吗?我是否可以将它存储在源代码中,或者是否有一种方法可以编程获得它?
firebase、flutter、firebase-cloud-messaging
现在,我在代码中有了Firebase消息传递的服务器密钥。我能按程序拿到这把钥匙吗?
浏览 0提问于2019-07-27得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
