android - 当我的移动应用程序向我的服务器报告它们的设备 token 时，我应该如何处理身份验证？

Question

我有一个跨 iOS 和 Android 运行的应用程序。我正在努力向该应用添加推送通知。

在非常高的级别上，设备向 Apple 推送通知服务 (APNS) 或 Google Cloud Messaging (GCM) 注册并接收 token 。然后他们将该 token 交还给负责发送通知的服务器。该服务器在需要时向 APNS 或 GCM 发送通知，并说“将此通知发送到具有这些 token 的设备”。

因此，我的应用程序需要能够安全地将它们的 token 发送到我的服务器，并在用户不想再接收通知时从服务器中删除这些 token 。在处理 ?create=<token> 的服务器端添加一个简单的 CRUD 页面非常容易。 , ?delete=<token>等

但是当有人访问我的服务器并开始为 ?delete=<token> 发送随机值时会发生什么？ — 似乎他们可以随意删除随机设备 token ？

我仔细考虑了“删除”的情况，我认为这应该很简单:应用程序只需发送生成的公共(public)解密 key 和初始的“创建此 token ”请求即可。该 key 可以针对 token 存储。当应用程序想要删除时，它可以发送 token 的加密副本，服务器可以将 token 与解密副本进行匹配，验证应用程序必须拥有与私有(private)加密 key (这是一个已知的 secret )相匹配的存储公钥仅适用于应用程序)。

当有人开始为 ?create=<token> 发送随机值时会发生什么— 他们会用假设备 token 填充我的数据库表吗？

我看不出一个简单的答案 — 限制来自任何单个 IP 地址的“创建”请求的速率似乎是我们在不涉及注册的情况下所能做的最好的事情。这显然不会帮助我们抵御任何分布式攻击。

理想情况下，我希望默认启用推送通知/用户无需“注册”或类似的操作。我的第一个想法是每个设备 token 都应该绑定(bind)到一个已知的规范 Apple ID 或谷歌帐户——但我如何阻止用户伪造这些帐户？设备是否附带我可以获得权威公钥的证书(在这种情况下，每个设备只能获得与其公钥相关联的行)？我在这里实现身份验证的最佳方式是什么？

Answer 1

android 问题的解决方案可以找到Here .简而言之可以概括为

You use the GoogleAuthUtil class, available through Google Play services, to retrieve a string called an “ID Token”. You send the token to your back end and your back end can use it to quickly and cheaply verify which app sent it and who was using the app.