我有一个运行在Firebase托管重写规则后面的服务API,它将受益于CDN缓存,因为它的API响应很少更改,但是需要保护它不受公众欢迎。当前,服务器正在使用Firebase身份验证的verifyIdtoken
对传入的每个请求进行身份验证检查,以查看它是否应该接受传入的请求。
我想知道Firebase Hosting的全局CDN是否支持任何身份验证,以便可以在CDN级别进行身份验证检查。与GCP Endpoint Auth类似,或者是为Firebase量身定制的。
作为缓解措施,服务器正在为请求者设置与缓存相关的HTTP标头,以缓存响应,但是,这是每个用户的缓存,每个新用户的请求都将继续到达服务器。
答案 0 :(得分:2)
任何知道其URL的人都可以访问Firebase Hosting上的所有文件,因此仅应用于托管公共文件。没有适当的安全机制。