Когда файл загружается в Firebase, он возвращает URL с неуязвимым токеном, поэтому URL не могут быть угаданы и доступны другим пользователям той же платформы.
Однако, если параметр токена имеет значениеПолностью пропущенный из URL, файл все равно появляется.
Другими словами, если у меня есть
"https://firebasestorage.googleapis.com/v0/b/name_of_the_file?alt=media&token=31sda134asd131esda43143dss"
, и я вставляю
"https://firebasestorage.googleapis.com/v0/b/name_of_the_file?alt=media"
в моем браузере, тем не менее, файл доступен.
Это выглядит как серьезное нарушение безопасности.Я не мог найти ничего об этом на форумах или в документации.В частности, я ничего не смог найти о URL-токене в документации.Кажется, что каждая ссылка на слово «токен» связана с аутентификацией.Насколько мне известно, ни одно правило безопасности не ссылается на маркер неуслышиваемого URL.
Поскольку мне нужны неуязвимые URL, я возвращаюсь к S3.Я надеюсь, что кто-то может подтвердить или опровергнуть мои выводы.