js-push-sdk icon indicating copy to clipboard operation
js-push-sdk copied to clipboard
verified publisher icon leancloud

没有任何安全机制/签名?

Open cnjsstong opened this issue 10 years ago • 4 comments

目前看js-push-sdk没有任何机制防止未经授权的用户subscribe任意channel? 而且竟然还要把App Key也放在客户端? 这样完全没法production用吧……

cnjsstong avatar Jun 24 '15 22:06 cnjsstong

@sunng87 宁姐回复一下,接收 Push 推送时是否能有安全签名机制?

wangxiao avatar Aug 07 '15 08:08 wangxiao

建议将发送和接受push的部分各自独立。建议应用installationId来保证(虽然也没有特别安全)push接受方的身份,而仅当需要发送push时才需要appKey或者签名。

cnjsstong avatar Dec 24 '15 17:12 cnjsstong

的确不太安全

TangMonk avatar Oct 31 '16 07:10 TangMonk

cc @leeyeh and @nicecui

wangxiao avatar Nov 01 '16 12:11 wangxiao