消防安全规则混乱

Question

我有一个颤振应用程序，使用pdf文件和视频文件。我已经把这些文件放在firebase存储中，并将这些文件的url放在数据库集合中，以便在我的应用程序中使用它们。我不想在我的应用上任何电子邮件和密码认证。我的pdf和视频文件安全吗？有人能访问或获得它们吗？这是我的数据库规则：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write;
    }
  }
}

这是我的防火储存规则：

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}

Answer 1

您的规则允许任何人读取、修改或删除您的文件，因此，您的文件根本不安全。如果您希望您的文件是安全的，您必须考虑实现某种类型的身份验证，并将适当的规则设置为您或特定用户组能够访问您的文件。

您可以阅读有关在[消]火基文件中设置规则的更多信息。

Answer 2

如果您不想要求用户输入凭据，但仍然想要一点安全性，可以考虑使用Firebase的匿名认证提供程序。从文件中：

您可以使用Firebase身份验证创建和使用临时匿名帐户来使用Firebase进行身份验证。这些临时匿名帐户可用于允许尚未注册应用程序的用户处理受安全规则保护的数据。如果匿名用户决定注册您的应用程序，您可以使用将其登录凭据链接到匿名帐户。，以便他们可以在以后的会话中继续处理受保护的数据。

当然，如果您不想将您的文件或数据与特定的用户相关联，那么匿名auth也是非常没有意义的。但在这一点上，您确实希望允许纯未经身份验证的公共访问。这也是一个很好的选择，只要您意识到您的项目将由任何用户负责任何读/写。

如果您希望任何用户在没有标识或提供凭据的情况下能够读取数据/文件，但不编写自己的任何数据/文件，那么您需要的是只读规则：

allow read; if true;
allow write: if false;

或较短，但读起来不太明确：

allow read