使用推送通知订阅对象的“p256dh”或“endpoint”键值作为后端内的标识符是否安全？

Question

当用户通过PushManager.subscribe()创建订阅时，给定applicationServerKey（VAPID 公钥），它会创建一个有效的订阅，其内容可以发送并存储在数据库中。发送到数据库的内容如下所示：

{"endpoint":"https://fcm.googleapis.com/fcm/send/dpH5lCsTSSM:APA91bHqjZxM0VImWWqDRN7U0a3AycjUf4O-byuxb_wJsKRaKvV_iKw56s16ekq6FUqoCF7k2nICUpd8fHPxVTgqLunFeVeB9lLCQZyohyAztTH8ZQL9WCxKpA6dvTG_TUIhQUFq_n",
"keys": {
    "p256dh":"BLQELIDm-6b9Bl07YrEuXJ4BL_YBVQ0dvt9NQGGJxIQidJWHPNa9YrouvcQ9d7_MqzvGS9Alz60SZNCG3qfpk=",
    "auth":"4vQK-SvRAN5eo-8ASlrwA=="
    }
}

来源：推送通知简介

该对象提供了唯一的端点，后端服务器知道在哪里调用以将推送通知发送到并使用相应的 VAPID 私钥进行身份验证。

谷歌表示，该端点的唯一标识符是不透明的，无法从中确定任何个人数据。

标识符是不透明的。作为开发人员，您无法从中确定任何个人数据。此外，它还不稳定，因此不能用于跟踪用户。

按照Surya Sankar的本教程，可以将整个订阅对象发送到服务器并存储在数据库中，以便稍后向关联的浏览器/设备发送推送通知时使用。然而，在将条目记录到数据库之前，它会比较是否已经记录了具有相同内容的条目，以免创建重复项。

@app.route("/api/push-subscriptions", methods=["POST"])
def create_push_subscription():
    json_data = request.get_json()
    subscription = PushSubscription.query.filter_by(
        subscription_json=json_data['subscription_json']
    ).first()
    if subscription is None:
        subscription = PushSubscription(
            subscription_json=json_data['subscription_json']
        )
        db.session.add(subscription)
        db.session.commit()
    return jsonify({
        "status": "success"
    })

来源：push_subscriptions_api.py

由于整个订阅对象用于webpush触发推送通知，因此我知道整个订阅对象需要发送到服务器。

from pywebpush import webpush, WebPushException
import json
from flask import current_app


def trigger_push_notification(push_subscription, title, body):
    try:
        response = webpush(
            # Uses entire subscription object stored in database as parameter
            subscription_info=json.loads(push_subscription.subscription_json),
            data=json.dumps({"title": title, "body": body}),
            vapid_private_key=current_app.config["VAPID_PRIVATE_KEY"],
            vapid_claims={
                "sub": "mailto:{}".format(
                    current_app.config["VAPID_CLAIM_EMAIL"])
            }
        )
        return response.ok
    except WebPushException as ex:
        if ex.response and ex.response.json():
            extra = ex.response.json()
            print("Remote service replied with a {}:{}, {}",
                  extra.code,
                  extra.errno,
                  extra.message
                  )
        return False


def trigger_push_notifications_for_subscriptions(subscriptions, title, body):
    return [trigger_push_notification(subscription, title, body)
            for subscription in subscriptions]

来源：webpush_handler.py

这遵循该库的文档 ( pywebpush )下的指南，该指南指出在 README.md 文件的“使用”部分下执行以下操作。

因此，我很好奇订阅对象的哪些部分包含敏感信息（即"auth"）？的文档指出PushSubscription.getKey()这"auth"是一个身份验证秘密并且"p256dh"是一个公钥。鉴于推送通知只能通过 HTTPS 使用，客户端和服务器之间的通信将是安全的。

当尝试从前端引用此订阅时，我可以使用此订阅对象的哪一部分作为标识符来引用数据库中的此条目？

（即GET对此端点的请求如下所示https:/example.com/client/push-subscription/<subscription-object-identifier>）

我认为我不能使用整个订阅对象作为此端点的标识符，因为它会公开"auth". 我可以使用标识符下的内容"endpoint"或"p256dh"作为标识符吗，因为它们是唯一的并且不会泄露任何敏感数据？

Answer 1

您可以安全地将 用作endpoint数据库中以及前端对后端的调用中的唯一标识符。

自 2015 年以来，我们一直在 Pushpad Javascript SDK 中使用它，没有任何问题。

例如，当您从 Javascript 调用后端时，您可以使用端点作为标识符，以便存储该特定订阅的数据。

端点可以被认为是唯一且秘密的（因为它包含一个长随机令牌）。

现在是这样，在标准开始时也是如此……在过去，keys和 有效负载甚至不存在，并且endpoint单独用于所有事情，包括从应用程序服务器获取新通知。

对于我来说keys，我只是将它们保密在数据库中，而不将它们用作标识符。