根据此link,注册令牌必须保密。
注册令牌:FCM SDK为每个客户端应用实例生成的ID。单个设备和设备组消息传递所必需的。请注意,注册令牌必须保密。
令牌有多敏感?任何拥有注册令牌的人都可以向设备发送通知吗?或者是特定于我的项目的令牌?
如果其他人获得设备注册令牌会有什么风险?
答案 0 :(得分:2)
令牌有多敏感?任何拥有注册令牌的人都可以向设备发送通知吗?或者是特定于我的项目的令牌?
不是真的。如果与注册令牌无关的发件人发送邮件,那么他们将收到error:MismatchSenderId:
注册令牌与某组发件人绑定。当客户端应用程序注册FCM时,它必须指定允许哪些发件人发送消息。在向客户端应用程序发送消息时,您应该使用其中一个发件人ID。如果您切换到其他发件人,现有的注册令牌将无效。
如果你的基础是这样,看起来保持注册令牌的秘密并不是那么重要。但是如果一个场景发生了未经授权的用户获得发送消息的访问权限,如果他不知道/拥有注册令牌,那么它几乎没用。只需将其视为另一种安全措施。
如果其他人获得设备注册令牌会有什么风险?
从我上面提到的场景中,如果有人(未经授权的用户)有权发送消息和注册令牌,那么他们几乎可以向它发送任何内容。