Появилась новая информация об этом: https://firebase.google.com/docs/hosting/functions (пример: https://github.com/firebase/functions-samples / tree / master / authorized-https-endpoint )
Вы должны иметь возможность использовать облачную функцию для ограничения доступа к контенту (который аутентифицирован и сгенерирован на стороне сервера).