Javascript firebase云消息在客户端的安全性如何？

firebase确实提供了客户端sdk和服务器端管理sdk来使用firebase云消息传递

让我困惑的是：

我们在公共javascript文件或脚本标记中包含客户端初始化代码。是否有人无法查看此初始化凭据并直接向连接到我们的应用程序的设备发送post请求？如果用户不断发送垃圾邮件或恶意通知，该怎么办？整个FCM功能不应该只由AdminSDK提供吗

我正在为一个项目的nodejs应用程序使用firebase托管，对如何实现FCM感到非常困惑

firebase通过云消息和通知提供何种身份验证或检查

---

在我的web应用程序客户端中使用FCM通知的安全性如何

切勿公开旧版FCM中使用的FCM Api密钥。如果您对此感到担忧，只需从您的Google云管理控制台为您的项目禁用GCM post api即可

现在，他们的新v1api使用了使用服务器上的服务帐户密钥发布的Oauth令牌。这样就可以停止虐待了。切勿将服务帐户密钥放在可公开访问的位置。您必须在项目的Google云管理控制台中启用此功能

数据库url、存储桶信息、应用程序id和数据库的apikey可以安全地公开给公众

---

例如，在我的web项目中，单击一个按钮（应该发送通知），我将数据发布到一个Servlet，该Servlet实际上包含FCM部分。现在，这将防止滥用。

在您的web项目中，让它调用服务器端代码，如果可能，它将实际发布通知。使用FCM发送消息需要您指定所谓的FCM服务器密钥，该密钥（顾名思义）不是公开的。FCM服务器密钥不是客户端配置数据的一部分。客户端初始化需要公开的配置数据。