我应该将 Expo 推送通知令牌视为敏感信息吗？如果是这样，我如何以安全的方式发送通知？

Question

在我的应用程序中，用户向某人发送消息后，会触发另一个函数来通知接收者。为此，发送者必须拥有接收者的推送令牌（前端）。我的问题是：那安全吗？有更好的方法吗？

我正在使用 Firebase，但我无法找到通过 Google Cloud Functions 发送此通知的方法...

Answer 1

是的，您可以将其视为敏感信息。令牌可能包含恶意用户访问时可用于冒充您的应用程序并向用户发送自己的消息的信息。虽然尚未报告实例，但遵循最佳安全实践是明智之举。

根据此文档使用 Expo 的推送 API 发送通知

我们提供将访问令牌与推送令牌一起使用作为额外的安全层。

如果您使用expo-server-sdk-节点，至少升级到v3.6.0，并将您的accessToken作为构造函数中的选项传递。否则，将标头 'Authorization': 'Bearer ${accessToken}' 与我们的推送 API 的任何请求一起传递。
启用推送安全性后，任何没有有效访问令牌发送的请求都将导致错误，代码为：UNAUTHORIZED。

您可以查看此博客实施推送使用 Expo 和 Firebase Cloud Functions 进行通知，了解如何安全地推送通知。