У нас есть сторонняя организация, которая хотела бы сделать вызов API на нашем сервере, который аутентифицирован с помощью Firebase.
Эта конечная точка API будет использоваться для генерации кредитов ($), и мы бытакже хотелось бы избегать предоставления этим сторонним пользователям полных административных привилегий (базы данных, облачных функций и т. д.).
Предоставление им service-account.json даст им полные административные привилегии.
Как лучше всегочтобы выполнить это?
Опции, которые я знаю:
- Admin SDK, установленный на сторонних -> Невероятный / отличный вариант без возможностиограничить функциональность.Мы не можем гарантировать, что они реализуют какие-либо пользовательские разрешения, если они делают это.
Использовать WebSDK (javascript) и аутентифицируются, как если бы они были пользователем (электронная почта, пароль) -> Кажетсянемного хакерский
Создать пользовательский токен -> Срок действия истекает каждый час, есть опция
Есть ли лучший способсделать это?