Идентификатор экземпляра Firebase (также известный как регистрационный токен или токен FCM) идентифицирует установку вашего приложения на определенном устройстве.
Отправка сообщений на такие токены в проекте всегда требуют дополнительной формы «аутентификация».
Для версии REST API Firebase Cloud Messaging с версией требуется, чтобы у пользователя была учетная запись службы . Если вы создаете учетную запись для каждого из ваших поставщиков услуг, вы предоставляете им полный доступ к вашему проекту Firebase. Таким образом, они могут не только отправлять сообщения FCM, но и иметь доступ ко всем другим продуктам Firebase: например, удалить базу данных, прочитать всех ваших пользователей и т. д.
Устаревший REST API для Firebase Cloud Messaging вместо этого использует ключ сервера для авторизации своих абонентов. Если вы поделитесь своим ключом сервера FCM с другими поставщиками услуг, они могут отправлять только сообщения FCM с этим ключом. Но они могут отправлять любые сообщения любому пользователю.
Возможно, вы захотите настроить собственную конечную точку API в облачных функциях для Firebase. Таким образом, вы можете сами определить, как защитить этот API и что вы разрешаете своим поставщикам услуг отправлять пользователям вашего приложения.