Javascript 仅允许具有以下有效令牌的请求'；在火炉店发现

我正在react中构建一个小应用程序，开发者将在firebase的网站/应用程序中使用我的服务

这就是我想要的工作方式

想要使用我的服务的开发人员将在我的站点上注册并检索令牌

开发者应该在他们的应用程序中使用此令牌来请求我的应用程序（从技术上讲，请求来自最终用户，我不知道，也不应该）

安全规则将在firestore的用户集合中查找此令牌，并且仅当在用户集合中找到帐户时才允许请求

开发人员应该只能看到该令牌使用的帖子

我怎样才能做到这一点

---

请给我指出正确的方向。

我想您正在寻找

定制索赔。这些是可以附加到firebase auth用户模型的自定义值属性，然后可以将其加载到firestore规则引擎中。获取更多信息：
使用Firestore，无法随查询一起发送额外数据以进行授权。这一点都不安全——这与需要明文密码是一样的

您需要做的是编写一些后端代码，将令牌放入用户的应用程序中。您可以使用安全规则中自定义声明的内容来安全地检查用户是否应该有权访问某些资源

对于Firestore安全规则，您需要检查规则中的内容，以获取您放在其中的数据