OneSignal提供了一个用于向订阅者发送通知的API。 一些API功能需要使用API密钥进行授权,但是大多数功能都缺乏相同的功能,例如,如果使用PlayerID或ExternalID发送给目标受众,则不需要授权。
唯一需要的是APP ID,该ID必须公开公开以使OneSignal正常工作。显然,如果有人知道PlayerID或ExternalID(在我的情况下,使用的是employee ID),则他/她可以未经任何授权就发送垃圾邮件通知。 我已经联系了他们的客户服务部门,他们说找到玩家ID /外部ID对于黑客来说很困难,而且他们还没有遇到任何此类事件。我觉得这个答案不令人满意。
API请求示例
curl --include \
--request POST \
--header "Content-Type: application/json; charset=utf-8" \
--data-binary "{\"app_id\": \"5eb5a37-b45-113-ac11-000c294062c\",
\"contents\": {\"en\": \"English Message\"},
\"include_player_ids\": [\"6392d91a-b206-4b7b-a620-cd68e32c3a76\",\"76ece62b-bcfe-468c-8a78-839aeaa8c5fa\",\"8e0f21fa-9a5a-4ae7-a9a6-ca1f24294b86\"]}" \
https://onesignal.com/api/v1/notifications
我正在尝试寻找解决方案以防止这种泄漏。 谢谢您的时间