我构建了一个具有 Firebase 身份验证的 Web 应用程序,但我正在寻找使其更安全的方法。如果您是经过身份验证的用户,功能包括读取和写入 Firebase。所有这些数据都需要受到保护以遵守某些法律,这就是我需要建议的原因。我正在考虑添加 SSO 等。使用 React 作为前端,使用 Node 和 Express 作为后端/API,使用 Firebase 作为数据库。谢谢!
如果并非所有经过身份验证的用户需要相同级别的访问权限,您可以使用 Firebase 安全规则来定义任何可能的角色(管理员、读者、作者等)并限制这些角色。
您还提到了合规性,这意味着您可能有理由/需要在某个时候审核日志(谁访问或更改了什么)。您可以使用 Firebase 函数/Firestore 触发器来记录这些内容,然后导出到任何地方以供查看。