我希望一组用户访问存储在Cloud Storage中的文件,但是我想确保它们已被授权。 Firestore生成的唯一ID是否创建了足够的保护措施以至于使其无法猜测?
我使用以下结构将文件存储在Firestore中: / projects / uidOfProject / files / uidOfFile
我确保只有授权用户才能使用Firestore规则查看 uidOfProject 和 uidOfFile 。
我将实际文件存储在此处的存储中: / projects / uidOfProject / files / uidOfFile
但是,我不能仅将路径锁定为经过身份验证的用户ID,因为其他用户可以访问此项目。
我是否拥有两个唯一的ID,足以阻止没有访问权限的用户找到这些文件?用户找出 uidOfProject 和 uidOfFile 并操作该文件的几率是多少?有更安全的方法吗?我知道云功能可以提供解决方案,但要付出代价。
答案 0 :(得分:0)
Firestore生成的唯一ID是否创建了足够的保护以 使它们变得难以猜测?
通过隐蔽性实现的安全性不是安全性。很好reference可读。
也许是不可猜测的。但是,由于URL,日志文件,信息泄漏,“嘿,请检查一下”的偏爱等公共性质,将发现未得到适当保护的对象。
如果只有项目用户可以访问文件,他们还可以列出文件吗?如果是,则可能会好奇地浏览以查看其中的内容。