仅存储Firebase存储下载URL令牌(而不是完整路径)是否安全?

时间:2018-07-09 17:05:28

标签: angular firebase firebase-storage

我有一个使用Firebase Storage的Angular应用程序,用于存储用户上传的照片文件。用户上传文件后,我调用getDownloadURL()(返回Observable)以获取完整的公共URL路径。我想将URL字符串存储在Firestore数据库中,以便可以将其绑定到img html元素src属性以显示在网页上。这样一来,我不必调用Storage API即可异步获取每个图像URL。

此URL在查询字符串中包含一个令牌值,我认为它是不可猜测的,并用作安全性来作为一种密码。 为了节省空间,我应该只将令牌存储在数据库中吗?我可以使用变量组装其余的云文件夹路径-令牌是唯一的部分。如您所见,完整的URL路径很长。您是否认为URL路径的其余部分会发生变化?

Firebase Storage下载URL示例(不真实)

https:-//firebasestorage.googleapis.com/-v0 / b / my-bucket-name-goes-here / o / T4uk5DnzXlO1C7hs9HrSdb7yxsM2%2Fthumb%2FcX2kCobDqdRgN3snefYh.ken = b-media-to876 -a5e2-626ca157ed10

1 个答案:

答案 0 :(得分:2)

从API收到的唯一保证是,整个URL都将提取存储中的文件。您应该不透明地对待它,而不要尝试分解或解释其成分。