Uygulama sunucunuzdan veya güvenilir ortamınızdan FCM adresine gönderilen istekler yetkilendirilmelidir. Kullanımdan kaldırılan eski HTTP API ile HTTP v1 API yetkilendirmesi arasındaki şu önemli farkları unutmayın:
- FCM HTTP v1 API, istekleri kısa süreli bir OAuth 2.0 erişim jetonuyla yetkilendirir. Bu jetonu oluşturmak için Google Uygulama Varsayılan Kimlik Bilgileri'ni (Google sunucu ortamlarında) kullanabilir ve/veya bir hizmet hesabı için oluşturulan JSON özel anahtar dosyasından gerekli kimlik bilgilerini manuel olarak edinebilirsiniz. Mesaj göndermek için Firebase Admin SDK kullanıyorsanız kitaplık, jetonu sizin için yönetir.
- Desteği sonlandırılan eski protokoller yalnızca Firebase konsolundan alınan uzun ömürlü API anahtarlarını kullanabilir.
HTTP v1 gönderme isteklerini yetkilendirme
Sunucu ortamınızın ayrıntılarına bağlı olarak, Firebase hizmetlerine yönelik sunucu isteklerine yetki vermek için aşağıdaki stratejilerin bir kombinasyonunu kullanın:
- Google Uygulama Varsayılan Kimlik Bilgileri (ADC)
- Hizmet hesabı JSON dosyası
- Hizmet hesabından türetilen kısa ömürlü bir OAuth 2.0 erişim jetonu
Uygulamanız Compute Engine, Google Kubernetes Engine, App Engine veya Cloud Functions (Cloud Functions for Firebase dahil) üzerinde çalışıyorsa Uygulama Varsayılan Kimlik Bilgileri'ni (ADC) kullanın. ADC, istekleri yetkilendirmek üzere kimlik bilgilerini almak için mevcut varsayılan hizmet hesabınızı kullanır. ADC ise GOOGLE_APPLICATION_CREDENTIALS ortam değişkeni üzerinden esnek yerel test yapılmasını sağlar. Yetkilendirme akışının en üst düzeyde otomasyonu için ADC'yi Yönetici SDK'sı sunucu kitaplıklarıyla birlikte kullanın.
Uygulamanız Google dışı bir sunucu ortamında çalışıyorsa Firebase projenizden bir hizmet hesabı JSON dosyası indirmeniz gerekir. Özel anahtar dosyasını içeren bir dosya sistemine erişiminiz olduğu sürece, manuel olarak elde edilen bu kimlik bilgileriyle istekleri yetkilendirmek için GOOGLE_APPLICATION_CREDENTIALS ortam değişkenini kullanabilirsiniz. Bu tür dosya erişiminiz yoksa kodunuzda hizmet hesabı dosyasına referans vermeniz gerekir. Bu işlem, kimlik bilgilerinizin açığa çıkma riski nedeniyle son derece dikkatli bir şekilde yapılmalıdır.
ADC'yi kullanarak kimlik bilgileri sağlama
Google Uygulaması Varsayılan Kimlik Bilgileri (ADC), kimlik bilgilerinizi aşağıdaki sırayla kontrol eder:
ADC, GOOGLE_APPLICATION_CREDENTIALS ortam değişkeninin ayarlanıp ayarlanmadığını kontrol eder. Değişken ayarlanmışsa ADC, değişkenin işaret ettiği hizmet hesabı dosyasını kullanır.
Ortam değişkeni ayarlanmamışsa ADC, Compute Engine, Google Kubernetes Engine, App Engine ve Cloud Functions'ın bu hizmetlerde çalışan uygulamalar için sağladığı varsayılan hizmet hesabını kullanır.
ADC yukarıdaki kimlik bilgilerinden herhangi birini kullanamazsa sistem bir hata verir.
Aşağıdaki Admin SDK kod örneği bu stratejiyi göstermektedir. Örnekte, uygulama kimlik bilgileri açıkça belirtilmiyor. Ancak ADC, ortam değişkeni ayarlandığı veya uygulama Compute Engine, Google Kubernetes Engine, App Engine ya da Cloud Functions'da çalıştığı sürece kimlik bilgilerini dolaylı olarak bulabilir.
Node.js
admin.initializeApp({
credential: admin.credential.applicationDefault(),
});
Java
FirebaseOptions options = FirebaseOptions.builder()
.setCredentials(GoogleCredentials.getApplicationDefault())
.setDatabaseUrl("https://<DATABASE_NAME>.firebaseio.com/")
.build();
FirebaseApp.initializeApp(options);
Python
default_app = firebase_admin.initialize_app()
Go
app, err := firebase.NewApp(context.Background(), nil)
if err != nil {
log.Fatalf("error initializing app: %v\n", err)
}
C#
FirebaseApp.Create(new AppOptions()
{
Credential = GoogleCredential.GetApplicationDefault(),
});
Kimlik bilgilerini manuel olarak sağlayın
Firebase projeleri, Google hizmet hesaplarını destekler. Bu hesapları, uygulama sunucunuzdan veya güvenilir ortamınızdan Firebase sunucusu API'lerini çağırmak için kullanabilirsiniz. Yerel olarak kod geliştiriyorsanız veya uygulamanızı şirket içinde dağıtıyorsanız sunucu isteklerine yetki vermek için bu hizmet hesabı aracılığıyla edinilen kimlik bilgilerini kullanabilirsiniz.
Bir hizmet hesabının kimliğini doğrulamak ve Firebase hizmetlerine erişmesi için yetkilendirmek üzere JSON biçiminde bir özel anahtar dosyası oluşturmanız gerekir.
Hizmet hesabınız için özel anahtar dosyası oluşturmak üzere:
Firebase konsolunda Ayarlar > Hizmet Hesapları'nı açın.
Yeni Gizli Anahtar Oluştur'u tıklayın, ardından Anahtar Oluştur'u tıklayarak onaylayın.
Anahtarı içeren JSON dosyasını güvenli bir şekilde saklayın.
Bir hizmet hesabı aracılığıyla yetkilendirme yaparken kimlik bilgilerini uygulamanıza sağlamak için iki seçeneğiniz vardır. GOOGLE_APPLICATION_CREDENTIALS ortam değişkenini ayarlayabilir veya hizmet hesabı anahtarının yolunu kodda açıkça iletebilirsiniz. İlk seçenek daha güvenlidir ve kesinlikle önerilir.
Ortam değişkenini ayarlamak için:
GOOGLE_APPLICATION_CREDENTIALS ortam değişkenini, hizmet hesabı anahtarınızı içeren JSON dosyasının dosya yoluna ayarlayın. Bu değişken yalnızca mevcut kabuk oturumunuz için geçerlidir. Bu nedenle, yeni bir oturum açarsanız değişkeni tekrar ayarlayın.
Linux veya macOS
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"
Windows
PowerShell ile:
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"
Yukarıdaki adımları tamamlamanızın ardından Uygulama Varsayılan Kimlik Bilgileri (ADC), kimlik bilgilerinizi dolaylı olarak belirleyebilir. Bu sayede, Google dışı ortamlarda test yaparken veya çalıştırırken hizmet hesabı kimlik bilgilerini kullanabilirsiniz.
Erişim jetonları oluşturmak için kimlik bilgilerini kullanma
Yetkilendirmeyi otomatik olarak işleyen Admin SDK'sını kullanmıyorsanız erişim jetonunu basmanız ve istek göndermek için eklemeniz gerekir.
Kısa süreli bir OAuth 2.0 erişim jetonu almak için Firebase kimlik bilgilerinizi tercih ettiğiniz dildeki Google Auth Library ile birlikte kullanın:
node.js
function getAccessToken() {
return new Promise(function(resolve, reject) {
const key = require('../placeholders/service-account.json');
const jwtClient = new google.auth.JWT(
key.client_email,
null,
key.private_key,
SCOPES,
null
);
jwtClient.authorize(function(err, tokens) {
if (err) {
reject(err);
return;
}
resolve(tokens.access_token);
});
});
}
Bu örnekte Google API istemci kitaplığı, isteğin kimliğini JSON web jetonu veya JWT ile doğrular. Daha fazla bilgi için JSON web jetonları bölümüne bakın.
Python
def _get_access_token():
"""Retrieve a valid access token that can be used to authorize requests.
:return: Access token.
"""
credentials = service_account.Credentials.from_service_account_file(
'service-account.json', scopes=SCOPES)
request = google.auth.transport.requests.Request()
credentials.refresh(request)
return credentials.token
Java
private static String getAccessToken() throws IOException {
GoogleCredentials googleCredentials = GoogleCredentials
.fromStream(new FileInputStream("service-account.json"))
.createScoped(Arrays.asList(SCOPES));
googleCredentials.refresh();
return googleCredentials.getAccessToken().getTokenValue();
}
Erişim jetonunuzun süresi dolduktan sonra jeton yenileme yöntemi, güncellenmiş bir erişim jetonunu almak için otomatik olarak çağrılır.
FCM'e erişim yetkisi vermek için https://www.googleapis.com/auth/firebase.messaging kapsamını isteyin.
Erişim jetonunu bir HTTP istek başlığına eklemek için:
Jetonu, Authorization başlığının değeri olarak Authorization: Bearer <access_token> biçiminde ekleyin:
düğüm.js
headers: {
'Authorization': 'Bearer ' + accessToken
}
Python
headers = {
'Authorization': 'Bearer ' + _get_access_token(),
'Content-Type': 'application/json; UTF-8',
}
Java
URL url = new URL(BASE_URL + FCM_SEND_ENDPOINT);
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setRequestProperty("Authorization", "Bearer " + getServiceAccountAccessToken());
httpURLConnection.setRequestProperty("Content-Type", "application/json; UTF-8");
return httpURLConnection;
Eski protokol gönderme isteklerini yetkilendirme
Eski HTTP protokolüyle, her istek Firebase konsolunun Ayarlar bölmesindeki Cloud Messaging sekmesinden sunucu anahtarını içermelidir. XMPP için bağlantı kurmak üzere aynı sunucu anahtarını kullanmanız gerekir.
Eski sunucu anahtarlarını taşıma
FCM, Mart 2020'den itibaren eski sunucu anahtarları oluşturmayı durdurdu. Mevcut eski sunucu anahtarları çalışmaya devam edecek ancak bunun yerine Firebase konsolunda Sunucu anahtarı olarak etiketlenen anahtarın daha yeni sürümünü kullanmanızı öneririz.
Mevcut bir eski sunucu anahtarını silmek istiyorsanız bu işlemi Google Cloud konsolunda yapabilirsiniz.
HTTP isteklerini yetkilendirme
Mesaj isteği iki bölümden oluşur: HTTP üstbilgisi ve HTTP gövdesi. HTTP üstbilgisinde aşağıdaki üstbilgiler bulunmalıdır:
Authorization: key=SUNUCUNUZUN_ANAHTARI
Bunun, Firebase konsolu Ayarlar bölmesinin Cloud Mesajlaşma sekmesinde bulunan sunucu anahtarı olduğundan emin olun. Android, Apple platformu ve tarayıcı anahtarları FCM tarafından reddedildi.Content-Type: JSON içinapplication/json;application/x-www-form-urlencoded;charset=UTF-8düz metin için.Content-Typeatlanırsa biçimin düz metin olduğu varsayılır.
Örneğin:
Content-Type:application/json
Authorization:key=AIzaSyZ-1u...0GBYzPu7Udno5aA
{
"to" : "bk3RNwTe3H0:CI2k_HHwgIpoDKCIZvvDMExUdFQ3P1...",
"data" : {
...
},
}Gönderme isteği oluşturma hakkında ayrıntılı bilgi için Gönderme İsteği Oluşturma başlıklı makaleyi inceleyin. Eski HTTP Protokolü Referansı, iletinizin içerebileceği tüm parametrelerin listesini sağlar.
Sunucu anahtarının geçerliliğini kontrol etme
İleti gönderirken kimlik doğrulama hataları alırsanız sunucu anahtarınızın geçerliliğini kontrol edin. Örneğin, Linux'da aşağıdaki komutu çalıştırın:
api_key=YOUR_SERVER_KEY curl --header "Authorization: key=$api_key" \ --header Content-Type:"application/json" \ https://fcm.googleapis.com/fcm/send \ -d "{\"registration_ids\":[\"ABC\"]}"
401 HTTP durum kodu alırsanız sunucu anahtarınız geçerli değildir.
XMPP bağlantısını yetkilendirme
XMPP ile FCM sunucularına kalıcı, eşzamansız, çift yönlü bir bağlantı sağlayabilirsiniz. Bağlantı, sunucunuz ile kullanıcılarınızın FCM bağlı cihazları arasında mesaj göndermek ve almak için kullanılabilir.
FCM ile uzun süreli bir bağlantıyı yönetmek için çoğu XMPP kitaplığını kullanabilirsiniz. XMPP uç noktası fcm-xmpp.googleapis.com:5235 adresinde çalışır. Üretim dışı kullanıcılarla işlevselliği test ederken fcm-xmpp.googleapis.com:5236 adresindeki ön prodüksiyon sunucusuna bağlanmanız gerekir (farklı bağlantı noktasına dikkat edin).
Gerçek kullanıcıları test kodundan ayırmak için ön prodüksiyonda (en son FCM derlemelerinin çalıştırıldığı daha küçük bir ortam) düzenli test yapmak faydalıdır. fcm-xmpp.googleapis.com:5236'e bağlanan test cihazları ve test kodları, üretim kullanıcılarına test mesajları gönderme veya test bağlantıları üzerinden üretim trafiğinden yayın mesajları gönderme risklerini önlemek için farklı bir FCM gönderen kimliği kullanmalıdır.
Bağlantının iki önemli koşulu vardır:
- Taşıma Katmanı Güvenliği (TLS) bağlantısı başlatmanız gerekir. FCM'ün şu anda STARTTLS uzantısını desteklemediğini unutmayın.
- FCM, şifre olarak
<your_FCM_Sender_Id>@fcm.googleapis.com(FCM gönderen kimliği) ve Sunucu anahtarını kullanan bir SASL PLAIN kimlik doğrulama mekanizması gerektirir. Bu değerlere Firebase konsolunun Ayarlar bölmesinde bulunan Cloud Messaging sekmesinden erişebilirsiniz.
Bağlantı herhangi bir noktada kesilirse hemen yeniden bağlanmanız gerekir. Kimlik doğrulamadan sonra gerçekleşen bir bağlantı kesilmesinden sonra geri çekilmeniz gerekmez. FCM, her gönderen kimliği için paralel olarak 2.500 bağlantıya izin verir.
Aşağıdaki snippet'lerde, FCM ile XMPP bağlantısı için kimlik doğrulama ve yetkilendirmenin nasıl yapılacağı gösterilmektedir.
XMPP sunucusu
XMPP sunucusu FCM ile bağlantı istiyor.
<stream:stream to="fcm.googleapis.com" version="1.0" xmlns="jabber:client" xmlns:stream="http://etherx.jabber.org/streams">
FCM
FCM bağlantıyı açar ve PLAIN yöntemi dahil olmak üzere bir kimlik doğrulama mekanizması ister.
<stream:features> <mechanisms xmlns="urn:ietf:params:xml:ns:xmpp-sasl"> <mechanism>X-OAUTH2</mechanism> <mechanism>X-GOOGLE-TOKEN</mechanism> <mechanism>PLAIN</mechanism> </mechanisms> </stream:features>
XMPP sunucusu
XMPP sunucusu, Firebase konsolunun Ayarlar bölmesindeki
Cloud Messaging sekmesinden sunucu anahtarını sağlayarak PLAIN kimlik doğrulama yöntemini kullanarak yanıt vermelidir.
<auth mechanism="PLAIN" xmlns="urn:ietf:params:xml:ns:xmpp-sasl">MTI2MjAwMzQ3OTMzQHByb2plY3RzLmdjbS5hb mFTeUIzcmNaTmtmbnFLZEZiOW1oekNCaVlwT1JEQTJKV1d0dw==</auth>
FCM
<success xmlns="urn:ietf:params:xml:ns:xmpp-sasl"/>
XMPP sunucusu
<stream:stream to="fcm.googleapis.com" version="1.0" xmlns="jabber:client" xmlns:stream="http://etherx.jabber.org/streams">
FCM
<stream:features> <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"/> <session xmlns="urn:ietf:params:xml:ns:xmpp-session"/> </stream:features>
XMPP sunucusu
<iq type="set"> <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"></bind> </iq>
FCM
<iq type="result"> <bind xmlns="urn:ietf:params:xml:ns:xmpp-bind"> <jid>SENDER_ID@fcm.googleapis.com/RESOURCE</jid> </bind> </iq>
Not: FCM, mesajları yönlendirirken bağlı kaynağı kullanmaz.
Gönderme isteği oluşturma hakkında ayrıntılı bilgi için Gönderme İsteği Oluşturma başlıklı makaleyi inceleyin. Eski XMPP Protokolü Referansı, iletinizin içerebileceği tüm parametrelerin listesini sağlar.