云存储客户访问最佳实践

Question

假设我有一个用例，用户可以在应用程序中购买mp3文件。这些对象存储在GCP云存储中。将这些对象仅交付给购买这些文件的用户的最佳实践是什么？

在研究了这个主题之后，我想出了三个解决方案：

1. 客户端调用REST (例如，在App中运行的一个服务)。此服务从Cloud下载文件，然后将它们发送回客户端。
2. 与其通过REST调用发送文件，我还可以将下载URL (从Cloud )发送到客户端。这将是成本效益更高，但这听起来像一个安全问题，因为任何人谁只要监测他的网络可以捕获的网址。
3. 创建一个(有时间限制的)签名url以允许用户下载

显然，必须首先进行权限检查，例如，如果用户X购买了mp3 Y，数据库就包含该数据库。

此问题也可应用于Azure Blob存储或AWS S3.

Answer 1

在用例中，您有一个常量：

• 您需要一个后端来对用户进行身份验证(例如，使用云识别平台执行的身份验证并托管在App引擎或云运行上)
• 您需要检查它购买的MP3列表(例如，存储在萤火虫中)。
• 然后，你需要允许他下载文件。关于最后一点，我建议您生成一个signedURL。下载URL只存在于Firebase区域 (也许你的项目是一个防火喷射器？)但这和signerURL是一样的。最后，我不推荐你的第一提案。它可以工作，但是如果下载时间很长(因为网络很差)，连接将在60秒后中断。这将使您的AppEngine保持免费(您将支付这个.)。