Делать URL-адрес облачного хранилища Firebase неосуществимым?

Question

Я хочу, чтобы группа пользователей имела доступ к файлам, хранящимся в облачном хранилище, но я хочу убедиться, что они авторизованы.Создают ли уникальные идентификаторы, сгенерированные Firestore, достаточную защиту, чтобы сделать их неосуществимыми?

Мои файлы хранятся с использованием этой структуры в Firestore: / projects / uidOfProject / files / uidOfFile

Я убедился, что только авторизованные пользователи могут просматривать uidOfProject и uidOfFile с использованием правил Firestore.

Я храню эти фактические файлы в хранилище здесь: / projects/ uidOfProject / files / uidOfFile

Но я не могу заблокировать этот путь только для идентифицированного идентификатора пользователя, поскольку другие пользователи могут получить доступ к этому проекту.

Тот факт, что у меня естьдостаточно двух уникальных идентификаторов, чтобы пользователь, не имеющий доступа, не смог найти эти файлы?Какова вероятность того, что пользователь поймет и uidOfProject , и uidOfFile и манипулирует этим файлом?Есть ли более безопасный способ сделать это?Я знаю, что облачные функции могут предложить решение, но за счет скорости.

Answer 1

Создают ли уникальные идентификаторы, сгенерированные Firestore, достаточную защиту, чтобы сделать их неуязвимыми?

Безопасность через неизвестность НЕ является безопасностью.Хорошо ссылка для чтения.

Неопровержимо, вероятно.Однако из-за несколько общедоступного характера URL-адресов, файлов журналов, утечек информации, «эй проверь это» и т. Д. Будут обнаружены объекты, которые не защищены должным образом.

Если доступ к ним имеют только пользователи проектафайлы, они могут также перечислить файлы?Если да, то любопытство может проявиться в просмотре, чтобы увидеть, что там есть.