Firebase存储安全性。为什么我可以复制/粘贴我的文件的链接并在浏览器中打开它们？

Question

这可能是一个非常愚蠢的问题，但我需要问一下，因为我不太擅长安全、身份验证等。当我在React应用程序中使用经过身份验证的用户将图像上传到Firebase Storage时，文件会显示在Storage仪表板中。我的安全规则显示，只有经过身份验证的用户才能写入和读取数据。然而，当我点击一张图片时，它会在web浏览器中打开一个链接。所以我的问题是，这有多安全。我看到有一个访问令牌，但我不确定它的作用是什么。是否只有使用此令牌的用户才能访问文件？默认情况下，经过身份验证的用户拥有它吗？

请帮帮忙谢谢

Answer 1

如果您使用Firebase SDK生成“下载URL”，则该URL将完全绕过安全规则。它被认为是一个“不可猜测的、可共享的”URL。如果这不是您想要的，那么就不要生成和共享下载URL。您必须让人们使用您的应用程序来使用SDK下载内容。

如果你在构建一个web应用，你没有太多的选择，因为你需要一个下载URL来填充一个他们可以看到的img标签。