我将Roku整合到我们的付费订阅模式的多平台应用中,因此webhooks /推送通知对于业务知道何时续订,取消订阅等至关重要。我遇到Roku Push Notifications documentation似乎有我担心的是安全问题,或者我忽略了这一点:
- Roku将数据发送到我们的推送通知网址,而不进行任何验证(例如像Stripe signature check那样)。那么我怎么知道数据来自Roku并且我可以信任它?
- 他们需要在标题中使用我们的私有API KEY(!)进行回复...这是否意味着我们可以将其暴露给任何找到网址的人?
- 不是真正的安全问题,而是更多的商业安全问题,如果端点连续失败,他们可以在没有任何通知的情况下停止发送推送通知,这可能会再次导致重大问题。
对于如何安全地使用Roku推送通知以及我的担忧是否有效,我将不胜感激。