database - 如何保护 Firestore 上的数据库访问？

问题描述

我正在从事一个医院项目，每个医生必须只能访问他/她的病人的文件和他/她自己的文件。这是我当前的数据库结构：

我会亲手给医生，他们的密码。所以这就是为什么，我正在考虑创建一些密码，对它们进行散列和加盐。将密码存储在纸上，而不是 PC 的任何部分。

在数据库访问方面，我的医生应该能够访问他们自己的文档并更新他们的患者文档。

这是我对登录用户的看法：

1. 从用户那里获取输入的密码。
2. 散列密码。
3. 给密码加盐。（盐是从数据库中获取的）
4. 从 db 获取用户密码的哈希值并检查它们的相等性。
5. 如果他们是平等的，让用户进入。
6. 获取用户的 Uid。
7. 让用户使用自己或患者的 Uid 访问文档。（现在这似乎适合我。但我不知道更好的方法。）

我主要怀疑第7步。向我展示更好的方法或有关它的文档或告诉我为什么这样做是安全的将非常有帮助。提前致谢。

标签： databasefirebasefirebase-authenticationgoogle-cloud-firestoredatabase-security