Express 在客户端更新Firestore记录安全吗？

我一直在读有关Firestore的文章，看起来很多库都是客户端的。我对在客户端做这件事很感兴趣，但它似乎是可以操作的

如果我作为用户A进行身份验证，似乎我可以像任何用户一样进入并拨打电话，例如用户B、C等

是否有必要让中间件接收令牌并将其转换为uid（从用户那里抽象出来），然后安全地更新uid的记录

---

在客户端Firestore中，我是否遗漏了一些循环漏洞？

在Firestore上，您可以使用其服务器端安全规则来确保用户只能访问他们授权访问的数据。因为这些都是在服务器上运行的，所以应用程序的普通用户无法绕过它们

---

与其重复大量关于它们的信息，我建议您查看，以及这篇更一般的文章。

我将深入讨论这些内容，谢谢分享。从高层次的角度来看，我很好奇，如果用户创建了一个“post”，它本质上是一个名为“posts”的集合中的文档，那么我是否可以限制添加到该文档中的数据，使其符合特定条件？例如，所有帖子都有一个owner/createdBy字段。我想限制用户Frank成为唯一可以使用createdBy==Frank发布的用户。这将让我在阅读时尽可能地思考问题，再次感谢！是的，这（以及更多）听起来都是可能的。我建议你先阅读文档，然后再尝试一下，如果你被卡住了，看看一些，你可以用它做很多事情。