我的Android应用使用GCM发送或接收短信。首先,当用户安装我的应用时,它会使用GCM API从Google获取GCM_id。获取此长GCM ID后,应用程序会将此ID发送到我的Web服务器,以表明此客户端已使用该ID注册。
我的问题是关于这一步。由于首先应用程序获取GCM ID并将其发送到我的Web服务器,我认为,有人可以监听应用程序的请求并为此客户端(或任何其他客户端,如果猜测我的客户端ID格式)发送虚拟GCM_ids。如何保护此步骤以防止不必要的中断和攻击。
创建gcm_id时,如果谷歌在将此ID发送到客户端之前将此ID发送到我的服务器,这将是我的问题的解决方案。但谷歌只是直接将它发送给客户。
ps:我认为使用ssl不是解决方案。因为它也可以像fiddler这样的程序打开。