質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.84%

  • JavaScript

    14820questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • Firebase

    463questions

    Firebaseは、Googleが提供するBasSサービスの一つ。リアルタイム通知可能、並びにアクセス制御ができるオブジェクトデータベース機能を備えます。さらに認証機能、アプリケーションのログ解析機能などの利用も可能です。

Firebase Cloud Storage のセキュリティルールについて

受付中

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 96

kerokero335

score 102

 前提・実現したいこと

Cloud Storageのセキュリティルールの仕様(?)がいま一つ分かりません。
実現したいこととしては、Firebaseの認証機能を通ったユーザだけがCloud Storage内の画像等にアクセスできるようにするというものです。

今、下記リンク先の記事のようにしてCloud Storage内の画像を表示しました。
Firebase Cloud Storageに格納した画像を一覧表示する - Qiita
つまり、Firestoreに格納された下記値を取得して、imgタグに突っ込むということをしています。

downloadUrl: `https://firebasestorage.googleapis.com/v0/b/${bucketName}/o/${encodeURIComponent(filePath)}?alt=media`

その後、下記のように誰でも読み込み可能なセキュリティルールから、

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
        allow read;
      allow write: if request.auth != null;
    }
  }
}

Firebaseのドキュメントをもとに、下記のようにユーザ認証をパスしたユーザだけが読み込み可能というセキュリティルールに変更しました。

service firebase.storage {
  match /b/{bucket}/o {
    match /{allPaths=**} {
        allow read, write: if request.auth != null;
    }
  }
}

このようなセキュリティルールに書き換えたところ、ユーザ認証をパスしたユーザであっても画像を表示できなくなってしまいました(403エラーが返ってきます)。

ユーザ認証をパスしているはずなのになぜ画像が表示できなくなってしまったのでしょうか?
何かご回答を頂けると助かります<(_ _)>

 追記

Reactのコードですが、
ユーザ認証を行う下記コンポーネント内でuidが取得出来たら配下のコンポーネントを表示し、取得できなければログインページへリダイレクトさせるという処理をし確認しています。

export default class Auth extends React.Component {
  constructor(props) {
    super(props);
    this.state = {
      uid: null,
      loading: true,
    };
  }

  componentDidMount() {
    this.removeListener = firebase.auth().onAuthStateChanged((user) => {
      if (user) {
        this.setState({
          uid: user.uid,
          loading: false,
        });
      } else {
        this.setState({
          loading: false,
        });
      }
    });
  }

  render() {
    if (this.state.loading) {
      return (
        <p>Now Loading...</p>
      );
    }

    if (!this.state.uid) {
      return (
        <Redirect to="/" />
      );
    }

    return (
      this.props.children
    );
  }
}

そして、uidが取得できた場合に表示するコンポーネントの中で、

downloadUrl: `https://firebasestorage.googleapis.com/v0/b/${bucketName}/o/${encodeURIComponent(filePath)}?alt=media`

が格納されたFirestoreのドキュメントを下記のようにまとめて取得し、<img>に突っ込んでいっています。

const db = firebase.firestore();
const datas = [];

db.collection('images').get()
  .then((snapshot) => {
    snapshot.forEach((doc) => {
      const data = doc.data();
      datas.push(data);
    });
    this.setState({
      imageDatas: datas,
    });
  });

 追記2

色々と試しているのですが、下記のようにgetDownloadURL()を使って画像のダウンロードURLを取得し、表示させようとすると、ちゃんとユーザの認証状態によって画像の表示・非表示ができます。

const storage = firebase.storage();
const fileRef = storage.ref().child('path to file');
fileRef.getDownloadURL().then((url) => {
  this.setState({
    downloadUrl: url,
  });
}).catch((err) => {
  console.log(err);
});

つまり、getDownloadURL()で画像を表示せずに、
Firestoreに記述された

downloadUrl: `https://firebasestorage.googleapis.com/v0/b/${bucketName}/o/${encodeURIComponent(filePath)}?alt=media`

を利用して画像を表示させようとしていることに問題があるのではないかと思っています。
(末尾のトークン(?)を省いているのが原因なのかどうなのか...)

 追記2_1

ダウンロードURLの末尾のトークンを省いていることに問題がありそうだったので、

downloadUrl: `https://firebasestorage.googleapis.com/v0/b/${bucketName}/o/${encodeURIComponent(filePath)}?alt=media&token=hogehoge...`

のように(コンソールから確認できるダウンロードURLで)記述したところ、認証状態によって画像の表示・非表示ができました。
(ただこのトークンが何なのかを今一つ理解せずに実験してみての結果なのでトークンによるものなのかは断言できないです...)

しかし、末尾のトークンを正しくつけてやればいいのではないかということは分かったのですが、個人的に考える重大な問題があります。
それは「ダウンロードURLを<img>に突っ込んでいるわけなので、ブラウザのディベロッパツールなどからダウンロードURLを見れば、簡単に外部からでもアクセスできてしまう」というものです。
ユーザ認証をパスした者が悪意あるユーザにダウンロードURLを教えた場合、そのダウンロードURLにアクセスしまくり、Firebaseの料金に影響を及ぼすことはできるわけですよね?

ちなみにですが、末尾のトークンを含まないダウンロードURLで外部からアクセスした場合は403が返ってき、アクセスできません。

なので理想としては、
「ユーザ認証をパスしたユーザにのみCloud Storage上の画像を表示させる。しかも画像を表示させるためのダウンロードURLは末尾のトークンを抜いた形式で」
という手法です。
この手法を実現する方法はないでしょうか?...

下記リンク先で同じ疑問を持った方がいるようなのですが、回答にあるようなセキュリティルールでは誰でもアクセスできてしまうので...

Access url without token in Firebase Storage - Stack Overflow

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • Yatima

    2018/06/20 18:34

    ユーザ認証をパスした,とはどうやって確認しましたか?

    キャンセル

  • kerokero335

    2018/06/20 18:57

    コメントありがとうございます<(_ _)> 追記しましたのでご確認よろしくお願い致します<(_ _)>

    キャンセル

回答 1

0

確かにルールは間違ってなさそうな気がしますね.
以下のようなことなど確認してみるのはいかがでしょう;
・ダウンロードできない時にブラウザの開発者ツールを開いてエラーが出ていないか
・firebaseウェブコンソール上で,ルールがここに記載したものと同じであること
・アプリ内でuidを表示させてfirebaseウェブコンソールから同じユーザが管理されていること(ユーザの状態はなるべく間接的にならない方法で確認しましょう)
・以前のルールに戻したらまたダウンロード可能になるのか

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/06/21 10:08

    ご回答ありがとうございます。

    ・ルールはコピペしているので、記載しているものと同じです。
    ・console.log()でuidを表示させましたが同じユーザでした。
    ・以前のルール(質問に記述したもの)に戻したら、ダウンロード可能になりました。

    追記2でも記したようなことが問題なのではないかと考えています...

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.84%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • JavaScript

    14820questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • Firebase

    463questions

    Firebaseは、Googleが提供するBasSサービスの一つ。リアルタイム通知可能、並びにアクセス制御ができるオブジェクトデータベース機能を備えます。さらに認証機能、アプリケーションのログ解析機能などの利用も可能です。