我们有一个第三方希望对经过Firebase认证的服务器进行API调用。
此API端点将用于生成信用($),并且我们还希望避免赋予该第三方完整的管理特权(数据库,云功能等)。
给他们service-account.json会赋予他们全部的管理特权。
完成此任务的最佳方法是什么?
我知道的选项:
使用WebSDK (javascript)并进行身份验证,就好像他们是用户一样(电子邮件,密码)->似乎有点hacky
Create Custom Token->每小时过期,是一个选择
有更好的方法吗?