将文件上传到Firebase时,它将返回带有无法猜测的令牌的网址,因此同一平台的其他用户无法猜测和访问该网址。
但是,如果从URL中完全省略了token参数,该文件仍然会显示。
换句话说,如果我有
然后我粘贴
“ https://firebasestorage.googleapis.com/v0/b/name_of_the_file?alt=media”
在我的浏览器中,仍然可以访问文件。
这看起来像是一个巨大的安全漏洞。我在论坛或文档中找不到任何有关它的信息。特别是,我根本找不到文档中有关url令牌的任何信息。对“令牌”一词的每个引用似乎都与认证有关。据我所知,没有安全规则会引用url不可猜测的令牌。
由于我需要无法猜测的网址,因此我将回到S3。我希望有人可以证实或否定我的结论。