当将来自应用服务器的流消息发送到GCM到客户端时,GCM如何验证它实际上是来自应用服务器而不是欺骗?例如,我可以使用REST客户端并向GCM发送POST请求,只要我有API密钥和用户ID,它仍然会到达注册客户端。这是关于确保API密钥不会暴露吗?预计会对客户进行一些额外的验证吗?
答案 0 :(得分:0)
您可以在Google开发者控制台中限制允许的服务器IP地址。
答案 1 :(得分:0)
API密钥是识别允许发件人的主要方式。如果你有API密钥和客户端InstanceId令牌(id),那么你是一个允许的发件人,这是设计的。如果您认为API密钥已被泄露,则可以撤销API密钥。