我正在尝试使用前端的vuejs构建一个node / express / firebase-admin web应用程序,但我有点困惑让我说我有两条带express的路由:
" /"用户可以注册并登录的主页和
" /管理"管理员页面,管理员几乎可以执行firebase-admin模块可以执行的任何操作
问题是,这就是我感到困惑的地方,firebase-admin模块只允许在服务器内部进行操作,因为它存在服务帐户文件的所有凭据。但是如何在不使用客户端SDK的情况下将此权限传递到我的管理页面?
您无法将凭据放入浏览器中,这就是为什么我不明白管理页面和服务器之间的通信是什么。 YouTube上的某个人建议我构建一个api来通过它发送安全操作,但由于这个端点位于链接到按钮事件的浏览器内,任何人都可以看到它并向我的服务器发出请求。
也许我采取了错误的方法,我也在考虑使用socket.io来发送这个安全的操作,但我认为它比第一个更安全。如果有人能指出我的权利,我会很高兴。