我有一个Android应用程序设置接收FCM推送通知。应用程序使用FCM令牌在我的服务器上注册。我的想法是通过向令牌发送推送通知来证明令牌来自我的应用程序。它只会到达我的应用,对吧?
我想知道是否有坏人可以从我的应用程序中提取FCM秘密(配置有google-services.json),用我的包名制作应用程序,并欺骗人们将其安装在他们的设备上。当恶意应用程序注册到我的服务器时,我怀疑我无法判断它是否来自正确的应用程序。我还怀疑如果我向令牌发送推送通知,它将不会发送错误。我说的对吗?
非常感谢您的帮助。
没有google-services.json的秘密嵌入到您的应用程序中。请参阅我在这里的回答:向公众暴露Firebase apiKey是否安全?
有了google-services.json中的信息,您所能做的就是接收消息,您将无法仅用该信息发送它们。
google-services.json中不可用,并且绝不应在面向客户端的应用程序代码中使用。