我对OneSignal通知服务有几个问题。我一直在阅读文档,并且有几件事困扰我安全或丢失了一些内容。
据我所知,Javascript客户端使用Web Push SDK与OneSignal API进行通信。要实例化通信,它需要appId参数,该参数可供客户端使用。
之后,客户端可以调用getExternalId,getEmail,getTags方法来潜在地收集用户敏感数据。一旦在其他设备方法上拥有了该数据,就可以使用收集的数据调用setExternalId和setTags来模拟其他用户并接收针对他们的通知(至少是使用set参数路由的通知)。
OneSignal是否假定设备(端点)没有受到威胁?
setExternalId的唯一建议是其独特性和复杂性。