보내기 요청 승인

앱 서버 또는 신뢰할 수 있는 환경에서 FCM으로 보내는 요청은 승인을 받아야 합니다. 기존 HTTP와 HTTP v1 API 승인에는 중요한 차이점이 있으니 유의하세요.

  • FCM HTTP v1 API는 수명이 짧은 OAuth 2.0 액세스 토큰을 사용하여 요청을 승인합니다. 이 토큰을 발급하려면 Google 서버 환경에서 Google 애플리케이션 기본 사용자 인증 정보를 사용하거나 서비스 계정에 생성된 JSON 비공개 키 파일에서 필요한 사용자 인증 정보를 직접 가져올 수 있습니다. Admin SDK를 사용하여 메시지를 보내는 경우 라이브러리에서 토큰이 자동으로 처리됩니다.
  • 기존 프로토콜은 Firebase 콘솔에서 가져온 수명이 긴 API 키만 사용할 수 있습니다.

HTTP v1 보내기 요청 승인

서버 환경의 세부정보에 따라 다음 전략을 조합하여 Firebase 서비스에 대한 서버 요청을 승인합니다.

  • Google 애플리케이션 기본 사용자 인증 정보(ADC)
  • 서비스 계정 JSON 파일
  • 서비스 계정에서 생성된 수명이 짧은 OAuth 2.0 액세스 토큰

애플리케이션이 Compute Engine, Kubernetes Engine, App Engine 또는 Cloud Functions(Firebase용 Cloud Functions 포함)에서 실행되는 경우 애플리케이션 기본 사용자 인증 정보(ADC)를 사용합니다. ADC는 기존 기본 서비스 계정을 사용하여 요청을 승인하기 위한 사용자 인증 정보를 가져오며 GOOGLE_APPLICATION_CREDENTIALS 환경 변수를 통한 유연한 로컬 테스트를 지원합니다. 승인 과정을 최대한 자동화하기 위해 ADC를 Admin SDK 서버 라이브러리와 함께 사용하세요.

애플리케이션이 Google 이외의 서버 환경에서 실행되는 경우 Firebase 프로젝트에서 서비스 계정 JSON 파일을 다운로드해야 합니다. 비공개 키 파일이 포함된 파일 시스템에 액세스할 수 있다면 GOOGLE_APPLICATION_CREDENTIALS 환경 변수를 사용하여 수동으로 가져온 사용자 인증 정보로 요청을 승인할 수 있습니다. 이러한 파일에 액세스할 수 없으면 코드에서 서비스 계정 파일을 참조해야 합니다. 이때 사용자 인증 정보가 노출될 위험이 있으므로 매우 주의해서 수행해야 합니다.

ADC를 사용하여 사용자 인증 정보 제공

Google 애플리케이션 기본 사용자 인증 정보(ADC)는 다음 순서에 따라 사용자 인증 정보를 확인합니다.

  1. ADC는 GOOGLE_APPLICATION_CREDENTIALS 환경 변수가 설정되었는지 확인합니다. 이 변수가 설정된 경우 ADC는 변수가 가리키는 서비스 계정 파일을 사용합니다.

  2. 환경 변수가 설정되지 않은 경우 ADC는 Compute Engine, Kubernetes Engine, App Engine, Cloud Functions가 제공하는 기본 서비스 계정을 이러한 서비스에서 실행되는 애플리케이션에 사용합니다.

  3. ADC에서 위 사용자 인증 정보 중 하나를 사용할 수 없는 경우 시스템에 오류가 발생합니다.

다음 Admin SDK 코드 예에서는 이 전략을 설명합니다. 예에서는 애플리케이션 사용자 인증 정보를 명시적으로 지정하지 않습니다. 그러나 환경 변수가 설정되어 있거나 애플리케이션이 Compute Engine, Kubernetes Engine, App Engine, Cloud Functions에서 실행 중인 경우 ADC는 사용자 인증 정보를 암묵적으로 찾을 수 있습니다.

Node.js

admin.initializeApp({
  credential: admin.credential.applicationDefault(),
});

자바

FirebaseOptions options = new FirebaseOptions.Builder()
    .setCredentials(GoogleCredentials.getApplicationDefault())
    .setDatabaseUrl("https://<DATABASE_NAME>.firebaseio.com/")
    .build();

FirebaseApp.initializeApp(options);

Python

default_app = firebase_admin.initialize_app()

Go

app, err := firebase.NewApp(context.Background(), nil)
if err != nil {
	log.Fatalf("error initializing app: %v\n", err)
}

C#

FirebaseApp.Create(new AppOptions()
{
    Credential = GoogleCredential.GetApplicationDefault(),
});

수동으로 사용자 인증 정보 제공

Firebase 프로젝트는 앱 서버 또는 신뢰할 수 있는 환경에서 Firebase 서버 API를 호출하는 데 사용할 수 있는 Google 서비스 계정을 지원합니다. 로컬에서 코드를 개발하거나 온프레미스에 애플리케이션을 배포하거나 애플리케이션 기본 사용자 인증 정보(ADC)가 지원되지 않는 Google 이외의 클라우드에 배포하는 경우 이 서비스 계정을 통해 가져온 사용자 인증 정보를 사용하여 서버 요청을 승인할 수 있습니다.

서비스 계정을 인증하고 Firebase 서비스에 액세스하도록 승인하려면 JSON 형식의 비공개 키 파일을 생성해야 합니다.

서비스 계정에 대한 비공개 키 파일을 생성하는 방법은 다음과 같습니다.

  1. Firebase 콘솔에서 설정 > 서비스 계정을 엽니다.

  2. 새 비공개 키 생성을 클릭하고 키 생성을 클릭하여 확인합니다.

  3. 키가 들어있는 JSON 파일을 안전하게 저장합니다. 서버 요청을 수동으로 승인하려면 이 JSON 파일이 필요합니다.

서비스 계정을 통해 승인할 때 두 가지 방법 중에서 선택하여 애플리케이션에 사용자 인증 정보를 제공할 수 있습니다. GOOGLE_APPLICATION_CREDENTIALS 환경 변수를 설정하거나 코드에서 서비스 계정 키에 경로를 명시적으로 전달할 수 있습니다. 더 안전한 첫 번째 방법을 사용하는 것이 좋습니다.

환경 변수를 설정하는 방법은 다음과 같습니다.

GOOGLE_APPLICATION_CREDENTIALS 환경 변수를 서비스 계정 키가 포함된 JSON 파일의 파일 경로로 설정합니다. 이 변수는 현재 셸 세션에만 적용되므로 새 세션을 열면 변수를 다시 설정합니다.

Linux 또는 macOS

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"

Windows

PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"

위 단계를 완료하고 나면 애플리케이션 기본 사용자 인증 정보(ADC)가 암묵적으로 사용자 인증 정보를 확인할 수 있으므로 Google 이외의 환경에서 테스트하거나 실행할 때 서비스 계정 사용자 인증 정보를 사용할 수 있습니다.

사용자 인증 정보를 사용하여 액세스 토큰 발급

토큰을 자동으로 처리하는 Admin SDK send 메소드를 사용하는 경우가 아니라면 액세스 토큰을 발급하여 보내기 요청에 추가해야 합니다.

원하는 언어의 Google API 클라이언트 라이브러리와 함께 Firebase 사용자 인증 정보를 사용하여 다음과 같이 비공개 키 JSON 파일을 참조하는 수명이 짧은 OAuth 2.0 액세스 토큰을 검색합니다.

node.js

 function getAccessToken() {
  return new Promise(function(resolve, reject) {
    var key = require('./service-account.json');
    var jwtClient = new google.auth.JWT(
      key.client_email,
      null,
      key.private_key,
      SCOPES,
      null
    );
    jwtClient.authorize(function(err, tokens) {
      if (err) {
        reject(err);
        return;
      }
      resolve(tokens.access_token);
    });
  });
}

Python

def _get_access_token():
  """Retrieve a valid access token that can be used to authorize requests.

  :return: Access token.
  """
  credentials = ServiceAccountCredentials.from_json_keyfile_name(
      'service-account.json', SCOPES)
  access_token_info = credentials.get_access_token()
  return access_token_info.access_token

자바

private static String getAccessToken() throws IOException {
  GoogleCredential googleCredential = GoogleCredential
      .fromStream(new FileInputStream("service-account.json"))
      .createScoped(Arrays.asList(SCOPES));
  googleCredential.refreshToken();
  return googleCredential.getAccessToken();
}

액세스 토큰이 만료되면 토큰 새로고침 메소드가 자동으로 호출되어 업데이트된 액세스 토큰이 발급됩니다.

FCM에 대한 액세스를 승인하려면 https://www.googleapis.com/auth/firebase.messaging 범위를 요청합니다.

HTTP 요청 헤더에 액세스 토큰을 추가하는 방법은 다음과 같습니다.

Authorization 헤더의 값으로 토큰을 Authorization: Bearer <access_token> 형식으로 추가합니다.

node.js

headers: {
  'Authorization': 'Bearer ' + accessToken
}

Python

headers = {
  'Authorization': 'Bearer ' + _get_access_token(),
  'Content-Type': 'application/json; UTF-8',
}

자바

URL url = new URL(BASE_URL + FCM_SEND_ENDPOINT);
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setRequestProperty("Authorization", "Bearer " + getAccessToken());
httpURLConnection.setRequestProperty("Content-Type", "application/json; UTF-8");
return httpURLConnection;

기존 프로토콜의 보내기 요청 승인

HTTP 기존 프로토콜에서는 각 요청에 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 확인할 수 있는 서버 키가 있어야 합니다. XMPP의 경우 동일한 서버 키를 사용하여 연결을 설정해야 합니다.

HTTP 요청 승인

메시지 요청은 HTTP 헤더와 HTTP 본문이라는 두 부분으로 구성됩니다. HTTP 헤더에는 다음과 같은 헤더가 포함되어야 합니다.

  • Authorization: key=YOUR_SERVER_KEY 형식입니다.
    서버 키가 맞는지 확인하세요. 이 값은 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 확인할 수 있습니다. Android, iOS, 브라우저 키는 FCM에서 거부합니다.
  • Content-Type: JSON은 application/json, 일반 텍스트는 application/x-www-form-urlencoded;charset=UTF-8입니다.
    Content-Type을 생략하면 형식이 일반 텍스트인 것으로 간주됩니다.

예를 들면 다음과 같습니다.

Content-Type:application/json
Authorization:key=AIzaSyZ-1u...0GBYzPu7Udno5aA

{
  "to" : "bk3RNwTe3H0:CI2k_HHwgIpoDKCIZvvDMExUdFQ3P1...",
  "data" : {
    ...
  },
}

보내기 요청 만들기에 대한 자세한 내용은 보내기 요청 작성을 참조하세요. 기존 HTTP 프로토콜 참조에서는 메시지에 포함될 수 있는 모든 매개변수의 목록을 제공합니다.

서버 키 유효성 확인

메시지를 보낼 때 인증 오류가 수신되면 서버 키의 유효성을 확인하세요. 예를 들어 Linux에서 다음 명령어를 실행하세요.

api_key=YOUR_SERVER_KEY

curl --header "Authorization: key=$api_key" \
     --header Content-Type:"application/json" \
     https://fcm.googleapis.com/fcm/send \
     -d "{\"registration_ids\":[\"ABC\"]}"

401 HTTP 상태 코드가 수신되면 서버 키가 유효하지 않은 것입니다.

XMPP 연결 승인

XMPP를 사용하면 FCM 서버에 대한 영구적인 비동기 양방향 연결을 유지할 수 있습니다. FMC에 연결된 사용자 기기와 서버 간에 메시지를 주고받는 데 이러한 연결을 사용할 수 있습니다.

대부분의 XMPP 라이브러리를 사용하여 FCM에 대한 장기 지속 연결을 관리할 수 있습니다. XMPP 엔드포인트는 fcm-xmpp.googleapis.com:5235에서 실행됩니다. 테스트용 사용자로 기능을 테스트할 때는 테스트용 서버(fcm-xmpp.googleapis.com:5236)에 연결해야 합니다. 포트 번호가 다르다는 점에 주의하세요.

테스트용 환경(최신 FCM 빌드가 실행되는 소규모 환경)에서 정기적으로 테스트하면 실제 사용자를 동원하지 않고도 테스트할 수 있습니다. fcm-xmpp.googleapis.com:5236에 연결하는 테스트 기기 및 테스트 코드에서는 테스트 메시지를 실제 사용자에게 보내거나 실제 운영 트래픽에서 테스트 연결을 통해 업스트림 메시지를 보낼 위험이 없도록 다른 FCM 발신자 ID를 사용해야 합니다.

연결에는 2가지 주요 요구사항이 있습니다.

  • 전송 레이어 보안(TLS) 연결을 시작해야 합니다. FCM에서 현재 STARTTLS 확장을 지원하지 않는다는 점에 유의하세요.
  • FCM에 <your_FCM_Sender_Id>@gcm.googleapis.com(FCM 발신자 ID) 및 서버 키를 비밀번호로 사용하는 SASL PLAIN 인증 메커니즘이 필요합니다. 이 값은 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 확인할 수 있습니다.

언제라도 연결에 실패하면 즉시 다시 연결해야 합니다. 인증 이후 연결 해제가 발생한 후에는 백오프 처리할 필요가 없습니다. 발신자 ID마다 FCM에서 동시 연결 1,000개를 허용합니다.

다음 스니펫은 FCM에 대한 XMPP 연결을 인증하고 승인하는 방법을 보여줍니다.

XMPP 서버

XMPP 서버가 FCM에 연결을 요청합니다.

<stream:stream to="gcm.googleapis.com"
        version="1.0" xmlns="jabber:client"
        xmlns:stream="http://etherx.jabber.org/streams">

FCM

FCM은 연결을 열고 PLAIN 메소드를 포함한 인증 메커니즘을 요청합니다.

<stream:features>
  <mechanisms xmlns="urn:ietf:params:xml:ns:xmpp-sasl">
    <mechanism>X-OAUTH2</mechanism>
    <mechanism>X-GOOGLE-TOKEN</mechanism>
    <mechanism>PLAIN</mechanism>
  </mechanisms>
</stream:features>

XMPP 서버

XMPP 서버는 Firebase 콘솔 설정 창의 클라우드 메시징 탭에서 확인할 수 있는 서버 키를 제공하는 PLAIN 인증 메소드를 사용하여 응답해야 합니다.

<auth mechanism="PLAIN"
xmlns="urn:ietf:params:xml:ns:xmpp-sasl">MTI2MjAwMzQ3OTMzQHByb2plY3RzLmdjbS5hb
mFTeUIzcmNaTmtmbnFLZEZiOW1oekNCaVlwT1JEQTJKV1d0dw==</auth>

FCM

<success xmlns="urn:ietf:params:xml:ns:xmpp-sasl"/>

XMPP 서버

<stream:stream to="gcm.googleapis.com"
        version="1.0" xmlns="jabber:client"
        xmlns:stream="http://etherx.jabber.org/streams">

FCM

<stream:features>
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"/>
  <session xmlns="urn:ietf:params:xml:ns:xmpp-session"/>
</stream:features>

XMPP 서버

<iq type="set">
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"></bind>
</iq>

FCM

<iq type="result">
  <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind">
    <jid>SENDER_ID@gcm.googleapis.com/RESOURCE</jid>
  </bind>
</iq>

참고: FCM은 메시지를 라우팅할 때 바인드된 리소스를 사용하지 않습니다.

보내기 요청 만들기에 대한 자세한 내용은 보내기 요청 작성을 참조하세요. 기존 XMPP 프로토콜 참조에는 메시지에 포함할 수 있는 모든 매개변수 목록이 있습니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.