当从应用服务器向GCM向客户端发送下行消息时,GCM如何验证它实际上来自应用服务器而不是一些欺骗?例如,我可以使用REST客户端并向GCM发送POST请求,只要我有API密钥和用户id,这些请求仍然可以到达注册的客户端。这一切都是为了确保API密钥不会被暴露吗?是否需要对客户进行一些额外的验证?
您可以在Google开发者控制台上限制允许的服务器IP地址。
API密钥是识别允许的发送者的主要方法。如果您有API密钥和客户端InstanceId令牌(id),则您是允许的发件人,这是设计的。如果您认为API密钥已被泄露,则可以撤销它们。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium