将令牌添加到 Firebase 存储以确保组安全

Question

对于我们的应用，我们需要能够为群组提供文件访问权限。每个用户可以拥有大量的组，因此使用“自定义令牌”解决方案没有意义（无论如何这很尴尬。

我发现，Firebase 的存储安全规则非常有限。主要问题是我们将组定义保留在存储安全规则无权访问的 Firestore 中。

为了克服这个问题，我们决定在每个上传文件的元数据中包含一个“令牌”，该组中的任何人都可以访问该令牌。当他们下载文件时，他们需要在请求参数中提供此令牌（例如 /groups/xxx/filename.jpg?token=abc）。

所以我继续写了这些规则：

match /groups/{groupId}/{filename} {
        allow read: if request.auth != null && request.params.token == resource.metadata.token;
        allow write: if request.auth.uid == userId
                    && request.resource.size < 1 * 1024 * 1024
                    && request.resource.contentType.matches('image/.*')
                    && (resource == null || request.resource.contentType == resource.contentType)
                    && imageId.size() < 32
     ;
}

但是当我在模拟器中运行它时出现错误：“错误：simulator.rules 行 [23]，列 [43]。属性参数未在对象上定义。”它指向带有“request.params.token”的规则

文档明确指出我们可以从请求对象访问 params 对象：https://firebase.google.com/docs/storage/security/secure-files?authuser=0#request_evaluation

Answer 1

听起来您正在尝试将 Cloud Firestore 中的一些数据代理到 Cloud Storage 请求中以用于安全规则。目前这是不可行的。 （除此之外，request.params 目前指的是未记录的 API，因此它不能真正使用。我已经向团队提出了这个问题，我们认为 request.params 可能应该从安全规则中删除文档。）

如果您想为 Firebase 身份验证用户分配可以跨产品（Firestore、存储和实时数据库）验证的组身份，您可以为此使用 custom claims。您需要在后端进行一些工作才能将您要检查的值直接分配给用户帐户。如果操作正确，您在该 JSON blob 中设置的值将显示在 request.auth.token 中的 Firestore 和 Storage 安全规则中。

Answer 2

由于 Firebase 能够在 Storage 中查询 Firestore 数据的严重限制以及有关 request.param 的不正确文档不可用，我们不得不使用不同的方法。

我们决定在查询组文件时使用以下 URL：

/groups/{groupId}/{token}/{filename}

唯一的安全要求是用户必须登录。由于上述令牌是一个秘密并且只对组成员可用，我们发现它非常安全。我们不允许列出目录，因此无法简单地列出 /groups/{groupId} 来查找任何令牌。

注意：另一个优化可能是在路径中不包含 {groupId}，但我们认为最好包含用于调试和管理目的。

如果有人觉得这是一种不安全的方式，请在 cmets 上告诉我们！

谢谢！