我目前正在构建一个基于Electron的应用程序,该应用程序将作为少数几个管理员的管理面板,这些管理员将能够查看所有用户数据并修改此数据。
最安全的方法是什么?
方法1::使用Firebase对用户进行身份验证,然后调用一个云函数,该函数将返回serviceAccountKey.json,然后将其用于初始化firebase-admin会话。
关注点:该方法是否安全,因为私钥将位于客户端计算机上,如果检索到的私钥可以用于访问所有用户数据?
方法2:使用自定义声明和数据库规则,允许所有“管理员” 用户有权查看和修改所有用户数据。
注意事项::该方法可能无法执行,因为Admin必须基本上不断拉动整个数据库,并且对所有操作都缺乏足够的控制权。
建议使用其他任何方法/更改。我最担心的是安全性,因为我们存储敏感的客户端数据。