使用 Firebase Storage 时,您可以设置安全规则来授权获取文件的 url,例如使用getDownloadURL()
。但是,一旦用户拥有该 URL,什么才能阻止黑客众包该 URL?
我知道在Google Cloud Storage中,您可以使用签名网址,这是有时间限制的(仍然没有进行真正的授权)。但我没有看到任何提及getSignedURL
in the Firebase 存储文档 https://firebase.google.com/docs/reference/js/firebase.storage.Reference#getdownloadurl。我在有关 Firebase 存储的文章中看到过它,但从未直接在 Firebase 文档中看到过。
据我所知,没有办法对访问 Firebase 存储文件进行真正的用户授权。请告诉我我错了。
但是,一旦用户拥有该 URL,什么才能阻止黑客众包该 URL?
没有什么。事实上,这正是下载 URL 的意义所在:它为任何拥有该 URL 的人提供对数据的只读访问权限。
如果您只想授予特定用户访问该文件的权限,请不要生成下载 URL,而是使用 SDK 来访问数据,并且使用安全规则来控制该访问 https://firebase.google.com/docs/storage/security.
既然您澄清了您正在询问 Web 应用程序:直到 2021 年末,在 JavaScript/Web SDK 中,使用下载 URL 是获取数据的唯一方法。从 JavaScript SDK 版本 9.5 开始,JavaScript SDK 还具有getBlock()
, getBytes()
and getStream()
方法,其中are通过安全规则强制执行。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)