群组的 Firebase 存储安全规则

Question

我知道对此有几个问题（例如https://stackoverflow.com/a/52808572/3481904），但我仍然没有适合我的情况的解决方案。

我的应用程序有组，它们是动态创建/删除的，并且可以随时添加/删除成员（用户）。

每个组有 0..N 个私有文件（Firebase 存储），保存在不同的路径中（都具有前缀 groups/{groupId}/...）。

在 Firestore 安全规则中，我使用 get() 和 exists() 来了解登录用户是否属于某个组。但我不能在 Firebase 存储安全规则中执行此操作。

提出的 2 个解决方案是：

• 用户声明：

但需要刷新令牌（注销/登录或更新过期令牌），这对我的用例来说是不可接受的，因为用户需要在受邀后立即访问。此外，一个用户可以是许多组的一部分，这些组可能会增长超过 1000 字节。

• 文件元数据：

但是组可以在不同的路径中有 N 个文件，所以我需要循环列出一个组的所有文件，并在每个文件的元数据中设置组成员的用户 ID，允许访问它。当添加/删除成员时，这将是由 Firestore（Firebase 函数）触发的操作。

我不喜欢这种方法，因为：

• 需要循环列出 N 个文件并为每个文件设置元数据（性能不是很好）
• 要添加新文件，我想我需要将 create 设置为 public（因为还没有要检查的元数据），然后需要触发一个函数来将 userIds 添加到元数据中李>
• 授予文件访问权限可能会延迟几秒钟，如果用户在此之前打开群组页面，这可能会导致问题，体验不佳

所以，我的问题是：

1. 有没有更好的方法？
2. 如果我只允许客户端在通过身份验证时访问所有文件get 和create（不允许delete 和list），这是否足以保证安全？我认为恶意黑客可能会使用匿名用户上传任何内容，或者如果他们知道路径，则可能会读取所有私人群组文件......

谢谢！

Answer 1

如果自定义声明对您不起作用，那么实际上没有“好的”方法来实现它。您唯一真正的选择是：

• 利用 Cloud Functions 以某种方式将 Firestore 中的相关数据镜像到 Storage 中，将 Firestore 文档数据放入 Storage 对象元数据中以供规则检查。
• 通过您控制的后端（也可以是云功能）路由对存储的所有访问，该后端执行所有相关的安全检查。如果您使用 Cloud Functions，这不适用于内容大于 10MB 的文件，因为这是 Cloud Functions 请求和响应的大小限制。

请向 Firebase 支持提出功能请求，以允许在存储规则中使用 Firestore 文档 - 这是一个常见请求。 https://support.google.com/firebase/contact/support

Answer 2

我有类似的用例，这是另一种不使用文件元数据的方法。

1. 创建私有存储桶

2. 通过云功能上传文件到这个bucket

   2a。在这里验证组的东西，然后上传到上面的存储桶。

   2b。为上传的文件生成一个签名的 url

   2c。将此签名的 URL 放在只有组成员可以读取的 Firestore 中（例如 /groups/id/urls）

3. 在 UI 中，从 firestore 获取组中给定图像 ID 的签名 URL 并渲染图像。

因为我们一起生成签名 URL 和上传文件，所以使用图像不会有延迟。 （上传可能需要更长的时间，但我们可以显示微调器）

此外，我们只生成一次 URL，因此不会在每次向组中添加新成员时运行任何 B 类操作或额外函数。

如果您想更安全，您可以将签名网址的到期时间设置得很短，并定期轮换它们。