Firebase Summit에서 발표된 모든 내용을 살펴보고 Firebase로 앱을 빠르게 개발하고 안심하고 앱을 실행하는 방법을 알아보세요. 자세히 알아보기

보내기 요청 승인

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

앱 서버 또는 신뢰할 수 있는 환경에서 FCM으로 전송된 요청은 승인되어야 합니다. 레거시 HTTP와 HTTP v1 API 인증 간의 중요한 차이점은 다음과 같습니다.

  • FCM HTTP v1 API는 단기 OAuth 2.0 액세스 토큰으로 요청을 승인합니다. 이 토큰을 발행하려면 Google 애플리케이션 기본 자격 증명(Google 서버 환경에서)을 사용하거나 서비스 계정에 대해 생성된 JSON 개인 키 파일에서 필요한 자격 증명을 수동으로 얻을 수 있습니다. Firebase Admin SDK를 사용하여 메시지를 보내는 경우 라이브러리에서 토큰을 처리합니다.
  • 레거시 프로토콜은 Firebase 콘솔에서 얻은 수명이 긴 API 키만 사용할 수 있습니다.

HTTP v1 보내기 요청 승인

서버 환경의 세부 정보에 따라 다음 전략을 조합하여 Firebase 서비스에 대한 서버 요청을 승인합니다.

  • Google 애플리케이션 기본 자격 증명(ADC)
  • 서비스 계정 JSON 파일
  • 서비스 계정에서 파생된 단기 OAuth 2.0 액세스 토큰

애플리케이션이 Compute Engine, Google Kubernetes Engine, App Engine 또는 Cloud Functions(Firebase용 Cloud Functions 포함)에서 실행 되는 경우 애플리케이션 기본 사용자 인증 정보(ADC)를 사용하세요. ADC는 기존 기본 서비스 계정을 사용하여 자격 증명을 얻어 요청을 승인하고 ADC는 환경 변수 GOOGLE_APPLICATION_CREDENTIALS 를 통해 유연한 로컬 테스트를 가능하게 합니다. 인증 흐름을 최대한 자동화하려면 ADC를 Admin SDK 서버 라이브러리와 함께 사용하십시오.

애플리케이션이 Google 이외의 서버 환경에서 실행 중인 경우 Firebase 프로젝트에서 서비스 계정 JSON 파일을 다운로드해야 합니다. 개인 키 파일이 포함된 파일 시스템에 액세스할 수 있는 한 환경 변수 GOOGLE_APPLICATION_CREDENTIALS 를 사용하여 수동으로 얻은 자격 증명으로 요청을 승인할 수 있습니다. 이러한 파일 액세스 권한이 없는 경우 코드에서 서비스 계정 파일을 참조해야 합니다. 자격 증명이 노출될 위험이 있으므로 각별히 주의해야 합니다.

ADC를 사용하여 자격 증명 제공

Google 애플리케이션 기본 자격 증명(ADC)은 다음 순서로 자격 증명을 확인합니다.

  1. ADC는 환경 변수 GOOGLE_APPLICATION_CREDENTIALS 가 설정되었는지 확인합니다. 변수가 설정되면 ADC는 변수가 가리키는 서비스 계정 파일을 사용합니다.

  2. 환경 변수가 설정되지 않은 경우 ADC는 Compute Engine, Google Kubernetes Engine, App Engine, Cloud Functions가 해당 서비스에서 실행되는 애플리케이션에 제공하는 기본 서비스 계정을 사용합니다.

  3. ADC가 위의 자격 증명 중 하나를 사용할 수 없으면 시스템에서 오류가 발생합니다.

다음 Admin SDK 코드 예시는 이 전략을 보여줍니다. 이 예에서는 애플리케이션 자격 증명을 명시적으로 지정하지 않습니다. 그러나 ADC는 환경 변수가 설정되어 있거나 애플리케이션이 Compute Engine, Google Kubernetes Engine, App Engine 또는 Cloud Functions에서 실행되는 한 암시적으로 자격 증명을 찾을 수 있습니다.

노드.js

admin.initializeApp({
  credential: admin.credential.applicationDefault(),
});

자바

FirebaseOptions options = FirebaseOptions.builder()
    .setCredentials(GoogleCredentials.getApplicationDefault())
    .setDatabaseUrl("https://<DATABASE_NAME>.firebaseio.com/")
    .build();

FirebaseApp.initializeApp(options);

파이썬

default_app = firebase_admin.initialize_app()

가다

app, err := firebase.NewApp(context.Background(), nil)
if err != nil {
	log.Fatalf("error initializing app: %v\n", err)
}

씨#

FirebaseApp.Create(new AppOptions()
{
    Credential = GoogleCredential.GetApplicationDefault(),
});

수동으로 자격 증명 제공

Firebase 프로젝트는 앱 서버 또는 신뢰할 수 있는 환경에서 Firebase 서버 API를 호출하는 데 사용할 수 있는 Google 서비스 계정 을 지원합니다. 로컬에서 코드를 개발하거나 애플리케이션을 온프레미스에 배포하는 경우 이 서비스 계정을 통해 얻은 자격 증명을 사용하여 서버 요청을 승인할 수 있습니다.

서비스 계정을 인증하고 Firebase 서비스에 액세스하도록 승인하려면 JSON 형식의 비공개 키 파일을 생성해야 합니다.

서비스 계정에 대한 개인 키 파일을 생성하려면:

  1. Firebase 콘솔에서 설정 > 서비스 계정 을 엽니다.

  2. 새 개인 키 생성 을 클릭한 다음 키 생성 을 클릭하여 확인합니다.

  3. 키가 포함된 JSON 파일을 안전하게 저장합니다.

서비스 계정을 통해 인증할 때 애플리케이션에 자격 증명을 제공하기 위한 두 가지 선택 사항이 있습니다. GOOGLE_APPLICATION_CREDENTIALS 환경 변수를 설정하거나 코드에서 서비스 계정 키에 대한 경로를 명시적으로 전달할 수 있습니다. 첫 번째 옵션은 더 안전하며 강력히 권장됩니다.

환경 변수를 설정하려면:

환경 변수 GOOGLE_APPLICATION_CREDENTIALS 를 서비스 계정 키가 포함된 JSON 파일의 파일 경로로 설정합니다. 이 변수는 현재 쉘 세션에만 적용되므로 새 세션을 열면 변수를 다시 설정하십시오.

리눅스 또는 맥OS

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

PowerShell 사용:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

위의 단계를 완료하면 ADC(애플리케이션 기본 자격 증명)가 암시적으로 자격 증명을 확인할 수 있으므로 Google 이외의 환경에서 테스트하거나 실행할 때 서비스 계정 자격 증명을 사용할 수 있습니다.

자격 증명을 사용하여 액세스 토큰 생성

승인을 자동으로 처리하는 Admin SDK 를 사용하지 않는 한 액세스 토큰을 생성하고 요청을 보내기 위해 추가해야 합니다.

원하는 언어의 Google 인증 라이브러리 와 함께 Firebase 자격 증명을 사용하여 단기 OAuth 2.0 액세스 토큰을 검색합니다.

노드.js

 function getAccessToken() {
  return new Promise(function(resolve, reject) {
    const key = require('../placeholders/service-account.json');
    const jwtClient = new google.auth.JWT(
      key.client_email,
      null,
      key.private_key,
      SCOPES,
      null
    );
    jwtClient.authorize(function(err, tokens) {
      if (err) {
        reject(err);
        return;
      }
      resolve(tokens.access_token);
    });
  });
}

이 예에서 Google API 클라이언트 라이브러리는 JSON 웹 토큰 또는 JWT를 사용하여 요청을 인증합니다. 자세한 내용은 JSON 웹 토큰 을 참조하십시오.

파이썬

def _get_access_token():
  """Retrieve a valid access token that can be used to authorize requests.

  :return: Access token.
  """
  credentials = ServiceAccountCredentials.from_json_keyfile_name(
      'service-account.json', SCOPES)
  access_token_info = credentials.get_access_token()
  return access_token_info.access_token

자바

private static String getAccessToken() throws IOException {
  GoogleCredentials googleCredentials = GoogleCredentials
          .fromStream(new FileInputStream("service-account.json"))
          .createScoped(Arrays.asList(SCOPES));
  googleCredentials.refreshAccessToken();
  return googleCredentials.getAccessToken().getTokenValue();
}

액세스 토큰이 만료되면 토큰 새로 고침 메서드가 자동으로 호출되어 업데이트된 액세스 토큰을 검색합니다.

FCM에 대한 액세스를 승인하려면 https://www.googleapis.com/auth/firebase.messaging 범위를 요청하세요.

HTTP 요청 헤더에 액세스 토큰을 추가하려면:

Authorization: Bearer <access_token> 형식의 Authorization 헤더 값으로 토큰을 추가합니다.

노드.js

headers: {
  'Authorization': 'Bearer ' + accessToken
}

파이썬

headers = {
  'Authorization': 'Bearer ' + _get_access_token(),
  'Content-Type': 'application/json; UTF-8',
}

자바

URL url = new URL(BASE_URL + FCM_SEND_ENDPOINT);
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setRequestProperty("Authorization", "Bearer " + getAccessToken());
httpURLConnection.setRequestProperty("Content-Type", "application/json; UTF-8");
return httpURLConnection;

레거시 프로토콜 전송 요청 승인

HTTP 레거시 프로토콜을 사용하는 경우 각 요청에는 Firebase 콘솔 설정 창의 클라우드 메시징 탭에 있는 서버 키가 포함되어야 합니다. XMPP의 경우 동일한 서버 키를 사용하여 연결을 설정해야 합니다.

레거시 서버 키 마이그레이션

2020년 3월부터 FCM은 레거시 서버 키 생성을 중단했습니다. 기존 레거시 서버 키는 계속 작동하지만 대신 Firebase 콘솔 에서 서버 키 레이블이 지정된 최신 버전의 키를 사용하는 것이 좋습니다.

기존 레거시 서버 키를 삭제하려면 Google Cloud Console 에서 삭제할 수 있습니다.

HTTP 요청 승인

메시지 요청은 HTTP 헤더와 HTTP 본문의 두 부분으로 구성됩니다. HTTP 헤더에는 다음 헤더가 포함되어야 합니다.

  • Authorization : 키=YOUR_SERVER_KEY
    Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 값을 사용할 수 있는 서버 키인지 확인합니다. Android, Apple 플랫폼 및 브라우저 키는 FCM에서 거부되었습니다.
  • Content-Type : JSON의 경우 application/json ; 일반 텍스트의 경우 application/x-www-form-urlencoded;charset=UTF-8 .
    Content-Type 이 생략되면 형식은 일반 텍스트로 간주됩니다.

예를 들어:

Content-Type:application/json
Authorization:key=AIzaSyZ-1u...0GBYzPu7Udno5aA

{
  "to" : "bk3RNwTe3H0:CI2k_HHwgIpoDKCIZvvDMExUdFQ3P1...",
  "data" : {
    ...
  },
}

전송 요청 생성에 대한 자세한 내용은 전송 요청 작성 을 참조하십시오. 레거시 HTTP 프로토콜 참조 는 메시지에 포함될 수 있는 모든 매개변수 목록을 제공합니다.

서버 키의 유효성 확인

메시지를 보낼 때 인증 오류가 발생하면 서버 키의 유효성을 확인하십시오. 예를 들어 Linux에서 다음 명령을 실행합니다.

api_key=YOUR_SERVER_KEY

curl --header "Authorization: key=$api_key" \
     --header Content-Type:"application/json" \
     https://fcm.googleapis.com/fcm/send \
     -d "{\"registration_ids\":[\"ABC\"]}"

401 HTTP 상태 코드를 수신하면 서버 키가 유효하지 않습니다.

XMPP 연결 승인

XMPP를 사용하면 FCM 서버에 대한 영구적인 비동기 양방향 연결을 유지할 수 있습니다. 연결을 사용하여 서버와 사용자의 FCM 연결 장치 간에 메시지를 보내고 받을 수 있습니다.

대부분의 XMPP 라이브러리를 사용하여 FCM에 대한 장기 연결을 관리할 수 있습니다. XMPP 엔드포인트는 fcm-xmpp.googleapis.com:5235 에서 실행됩니다. 비프로덕션 사용자로 기능을 테스트할 때는 대신 fcm-xmpp.googleapis.com:5236 에서 프로덕션 전 서버에 연결해야 합니다(다른 포트 참고).

사전 프로덕션(최신 FCM 빌드가 실행되는 소규모 환경)에 대한 정기적인 테스트는 테스트 코드에서 실제 사용자를 격리하는 데 유용합니다. fcm-xmpp.googleapis.com:5236 에 연결하는 테스트 기기 및 테스트 코드는 프로덕션 사용자에게 테스트 메시지를 보내거나 테스트 연결을 통해 프로덕션 트래픽에서 업스트림 메시지를 보내는 위험을 피하기 위해 다른 FCM 발신자 ID를 사용해야 합니다.

연결에는 두 가지 중요한 요구 사항이 있습니다.

  • TLS(전송 계층 보안) 연결을 시작해야 합니다. FCM은 현재 STARTTLS 확장 을 지원하지 않습니다.
  • FCM에는 <your_FCM_Sender_Id>@fcm.googleapis.com (FCM 발신자 ID ) 및 서버 키를 비밀번호로 사용하는 SASL PLAIN 인증 메커니즘이 필요합니다. 이 값은 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 사용할 수 있습니다.

어느 시점에서든 연결이 실패하면 즉시 다시 연결해야 합니다. 인증 후 연결이 끊긴 후 백오프할 필요가 없습니다. 각 발신자 ID 에 대해 FCM은 병렬로 2500개의 연결을 허용합니다.

다음 스니펫은 FCM에 대한 XMPP 연결에 대한 인증 및 권한 부여를 수행하는 방법을 보여줍니다.

XMPP 서버

XMPP 서버는 FCM에 대한 연결을 요청합니다.

<stream:stream to="fcm.googleapis.com"
        version="1.0" xmlns="jabber:client"
        xmlns:stream="http://etherx.jabber.org/streams">

FCM

FCM은 연결을 열고 PLAIN 메서드를 포함한 인증 메커니즘을 요청합니다.

<stream:features>
  <mechanisms xmlns="urn:ietf:params:xml:ns:xmpp-sasl">
    <mechanism>X-OAUTH2</mechanism>
    <mechanism>X-GOOGLE-TOKEN</mechanism>
    <mechanism>PLAIN</mechanism>
  </mechanisms>
</stream:features>

XMPP 서버

XMPP 서버는 PLAIN 인증 방법을 사용하여 응답해야 하며 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 서버 키를 제공해야 합니다.

<auth mechanism="PLAIN"
xmlns="urn:ietf:params:xml:ns:xmpp-sasl">MTI2MjAwMzQ3OTMzQHByb2plY3RzLmdjbS5hb
mFTeUIzcmNaTmtmbnFLZEZiOW1oekNCaVlwT1JEQTJKV1d0dw==</auth>

FCM

<success xmlns="urn:ietf:params:xml:ns:xmpp-sasl"/>

XMPP 서버

<stream:stream to="fcm.googleapis.com"
        version="1.0" xmlns="jabber:client"
        xmlns:stream="http://etherx.jabber.org/streams">

FCM

<stream:features>
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"/>
  <session xmlns="urn:ietf:params:xml:ns:xmpp-session"/>
</stream:features>

XMPP 서버

<iq type="set">
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"></bind>
</iq>

FCM

<iq type="result">
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind">
    <jid>SENDER_ID@fcm.googleapis.com/RESOURCE</jid>
  </bind>
</iq>

참고: FCM은 메시지를 라우팅하는 동안 바인딩된 리소스를 사용하지 않습니다.

전송 요청 생성에 대한 자세한 내용은 전송 요청 작성 을 참조하십시오. 레거시 XMPP 프로토콜 참조 는 메시지에 포함될 수 있는 모든 매개변수 목록을 제공합니다.