我正在使用带有Firestore的Node.js Google App Engine。 为了从数据库中获取信息,我计划使用一个自定义API,该API使用会话变量作为身份验证过程,从我的角度来看,这可以提高安全性(可能是完全的误解)
唯一的问题是用户是否放宽了权限级别(例如,撤消了对服务的访问权限) 在任何时候,用户仍然可以完全访问其旧权限,直到会话丢失。
不过,一种解决方法是在每个api调用其权限级别(在Firestore中实时更新的权限)之前获得访问权限,然后继续进行操作。
找不到更好的解决方案,但是此解决方案需要两次调用firestore(为用户的权限级别读取1次,为读取或写入所需数据进行1次读写)。还有其他解决方案吗?我想念什么吗?