このlinkによれば、登録トークンは秘密にしておく必要があります。なぜ登録トークンを秘密にしておく必要がありますか?
登録トークン:各クライアントアプリケーションインスタンス用にFCM SDKによって生成されたID。単一デバイスおよびデバイスグループのメッセージングに必要です。登録トークンは秘密にしておく必要があります。
トークンはどのくらい重要ですか?登録トークンを持つ人は誰でもデバイスに通知を送信できますか?または、私のプロジェクトに固有のトークンですか?
他の人がデバイス登録トークンを取得すると、どのような危険性がありますか?
トークンはどのくらい重要ですか?登録トークンを持つ人は誰でもデバイスに通知を送信できますか?または、私のプロジェクトに固有のトークンですか?
実際にはありません。登録トークンに関連付けられていない送信者がメッセージを送信する場合、それらはerror:MismatchSenderIdを受信するつもりだ:
登録トークンは送信者の特定のグループに関連付けられています。クライアントアプリケーションがFCMに登録するときは、どの送信者がメッセージを送信できるかを指定する必要があります。クライアントアプリケーションにメッセージを送信するときは、これらの送信者IDのいずれかを使用する必要があります。別の送信者に切り替えると、既存の登録トークンは機能しません。
それをベースにすると、登録トークンを秘密にすることはそれほど重要ではないようです。しかし、許可されていないユーザーがメッセージを送信するためのアクセス権を取得するシナリオが発生した場合、登録トークンがわからない場合は、それはかなり役に立たないでしょう。それをもう一つの安全対策と考えてください。
他の人がデバイス登録トークンを取得すると、どのような危険性がありますか?誰か(権限のないユーザーが)メッセージと登録トークンを送信するためのアクセス権を得た場合、私は上記のシナリオから
は、その後、彼らはかなりそれに向かって何かを送ることができます。