android - 限制 Firebase 访问单个 Android 应用程序而无需身份验证

Question

这个问题已经有答案了:

How to make firebase storage only available to users of the app (2 个回答)

已关闭 4 年前。

我需要从 Firebase 存储访问读/写图像。没有身份验证设施。如何限制仅通过应用程序进行数据管理。

提供公共(public)访问的现有规则是

rules_version = '2';
service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
      allow read, write;
    }
  }
}

Answer 1

无法仅将通过 Firebase SDK 对文件的访问限制为您的应用程序。这种方法在基于云的环境中根本行不通。

另请参阅:

• Restrict access to Firebase storage so only my app can access it
• How to allow only my app to access firebase without a login?
• Locking down Firebase DB access to specific apps
• How to make firebase storage only available to users of the app (我刚刚发现，你的问题是重复的)

虽然这些通常与其他 Firebase 产品有关，但相同的逻辑也适用于存储。

您需要在安全规则中描述通过 Firebase API 对 Cloud Storage 中的文件执行哪些操作，然后(如果需要)谁也可以使用 Firebase 身份验证执行这些操作。

请注意，使用 Firebase 身份验证并不一定要求用户提供凭据，因为 Firebase 提供了 sign in anonymously 选项。这只是为每个用户提供了一个安全、唯一的 ID，您可以使用该 ID 来允许用户仅访问他们自己上传的文件(以及许多其他用例)。