使用推送通知订阅对象的 "p256dh" 或 "endpoint" 键值作为后端内的标识符是否安全?

Is it safe to use the "p256dh" or "endpoint" keys values of the push notification subscription object as an identifier within the back-end?

当用户通过 PushManager.subscribe() 创建订阅时,给定 applicationServerKey(VAPID public 密钥),它会创建一个有效的订阅,其内容可以被发送和存储在数据库中。发送到数据库的内容如下所示:

{"endpoint":"https://fcm.googleapis.com/fcm/send/dpH5lCsTSSM:APA91bHqjZxM0VImWWqDRN7U0a3AycjUf4O-byuxb_wJsKRaKvV_iKw56s16ekq6FUqoCF7k2nICUpd8fHPxVTgqLunFeVeB9lLCQZyohyAztTH8ZQL9WCxKpA6dvTG_TUIhQUFq_n",
"keys": {
    "p256dh":"BLQELIDm-6b9Bl07YrEuXJ4BL_YBVQ0dvt9NQGGJxIQidJWHPNa9YrouvcQ9d7_MqzvGS9Alz60SZNCG3qfpk=",
    "auth":"4vQK-SvRAN5eo-8ASlrwA=="
    }
}

来源:Introduction to push notifications

此对象提供唯一的端点,后端服务器知道在哪里调用以便将推送通知发送到并使用相应的 VAPID 私钥进行身份验证。

Google 声明此端点的唯一标识符是不透明的,无法从中确定任何个人数据。

The identifier is opaque. As a developer, you can't determine any personal data from it. Also, it is not stable, so it can't be used to track users.

按照 Surya Sankar 中的教程,可以将整个订阅对象发送到服务器并存储在数据库中,以便稍后在向关联的 browser/device 发送推送通知时使用。但是,在将条目记录到数据库之前,它会比较是否已经记录了具有相同内容的条目,以免创建重复项。

@app.route("/api/push-subscriptions", methods=["POST"])
def create_push_subscription():
    json_data = request.get_json()
    subscription = PushSubscription.query.filter_by(
        subscription_json=json_data['subscription_json']
    ).first()
    if subscription is None:
        subscription = PushSubscription(
            subscription_json=json_data['subscription_json']
        )
        db.session.add(subscription)
        db.session.commit()
    return jsonify({
        "status": "success"
    })

来源:push_subscriptions_api.py

由于整个订阅对象与 webpush 一起用于触发推送通知,我知道需要将整个订阅对象发送到服务器。

from pywebpush import webpush, WebPushException
import json
from flask import current_app


def trigger_push_notification(push_subscription, title, body):
    try:
        response = webpush(
            # Uses entire subscription object stored in database as parameter
            subscription_info=json.loads(push_subscription.subscription_json),
            data=json.dumps({"title": title, "body": body}),
            vapid_private_key=current_app.config["VAPID_PRIVATE_KEY"],
            vapid_claims={
                "sub": "mailto:{}".format(
                    current_app.config["VAPID_CLAIM_EMAIL"])
            }
        )
        return response.ok
    except WebPushException as ex:
        if ex.response and ex.response.json():
            extra = ex.response.json()
            print("Remote service replied with a {}:{}, {}",
                  extra.code,
                  extra.errno,
                  extra.message
                  )
        return False


def trigger_push_notifications_for_subscriptions(subscriptions, title, body):
    return [trigger_push_notification(subscription, title, body)
            for subscription in subscriptions]

来源:webpush_handler.py

这遵循了该库文档中的指南(README.md 文件中的 pywebpush) which states to do the following under their Usage 部分。

由此,我很好奇订阅对象的哪些部分包含敏感信息(即"auth")? documentation for PushSubscription.getKey() states that "auth" is an authentication secret and "p256dh" is a public key. Given that push notifications can only be used over HTTPS,之间的通信客户端和服务器将是安全的。

当试图从前端引用这个订阅时,我可以使用这个订阅对象的哪一部分作为标识符来引用数据库中的这个条目?

(即,对此端点的 GET 请求类似于以下内容 https:/example.com/client/push-subscription/<subscription-object-identifier>

我认为我不能使用整个订阅对象作为此端点的标识符,因为它会公开 "auth" 下的内容。 我可以使用 "endpoint""p256dh" 下的内容作为标识符,因为它们是唯一的并且不会暴露任何敏感数据吗?

您可以安全地使用 endpoint 作为您数据库中的唯一标识符以及在前端调用后端时使用。

自 2015 年以来,我们一直在 Pushpad Javascript SDK 中使用它,没有任何问题。

例如,当您从 Javascript 调用后端以存储该特定订阅的数据时,您可以使用端点作为标识符。

一个端点可以被认为是唯一的和秘密的(因为它包含一个长的随机令牌)。

现在是这样,在标准开始时也是这样...在过去,keys 和有效负载甚至不存在,只有 endpoint 用于所有内容,包括从应用程序服务器获取新通知。

对于 keys 我只是将它们保密在数据库中,而不将它们用作标识符。