Firebase/文件安全

Question

我正试图找出使用Google服务来处理文件访问的最明智的方法。

简化场景，我们有

• 可以使用Google、Facebook等进行身份验证的用户(任何数字)，即不一定使用Google帐户。
• 用户可以属于任意数量的组(相当于Slack通道)，没有限制一个组中有多少用户或用户可以属于多少组。
• 每个文件属于一个组。

在一个理想的(对我来说)的世界里，我应该能够提供一个(快速)云功能来验证每个请求对我想做的任何事情的访问。我试过了，我确实有一个函数来执行检查(通过查询火药库)，并生成一个短暂的签名URL。它确实有效，但是函数的启动速度确实很慢，即使是在最好的情况下(根本不需要冷引导)，它仍然需要大约400 ms的时间，当文件是应该立即弹出的小图像时，这是很明显的。

因此，下一个选择是使用防火墙安全规则。我遇到的问题是，(显然)我无法在任何地方检查组成员身份(注意:对于我们来说，“group”是/user/$uuid/包含组in列表的集合)。

我考虑过在令牌中将组作为声明，但是由于索赔只能使用1000个字节，所以该解决方案是不可接受的。

也有Google组，但是如果我正确地阅读了文档，您只能将Google帐户添加到组中(我的意思是，直接使用存储处理访问，而不是使用防火墙安全性)。

这似乎是一个非常标准的问题，但到目前为止，我看到的每一种方法都有一些缺点，使它对我们来说无效。

Answer 1

与其让函数生成文件的url，不如让它生成文件的整个内容。这将关闭其他人获得该网址的机会之窗。缺点是你会为数据传输付出更多的代价，但是定制的跨产品安全控制通常并不便宜。