Firebase rodo dane autoryzacja jak to jest w praktyce?

pytanie zadane 22 września 2019 w Bezpieczeństwo, hacking przez ZenekChe Początkujący (250 p.)

Sprawa wygląda tak:

1. Jest klient który chce sprzedawać coś online - więc danych będzie sporo do chronienia + hasła( każdy klient będzie miał konto)

2. Ja jestem gościem pracującym na b2b i myśle sobie dorobić, ale nie chcę nikomu ani sobie narobić syfu(rodo)

3. Do napisania panel admina(js framework + firebase) i zwyczajna strona z SSR

4. Usługi z Firebase: Autoryzacja, baza danych, pliki, hosting

5. Myślę nad przechowywaniem danych klientów, w Firebase można ustawić reguły dla poszczególnych endpointów, tylko pytanie czy ustawienie takich reguł odczytu i zapisu tylko dla admina(z trudnym hasłem) jest wystarczająco bezpieczne i wystarczające dla przepisów o RODO? Autoryzacja w Firebase to JWT. Jestem typowym frontem a z backendem miałem tylko chwile rozrywkowo wspólnego, dlatego biorę tu pod uwagę usługi z Firebase.

6. Czy lepiej poświęcić trochę czasu i napisać własne RESTowe API z wyczuleniem na bezpieczeństwo (w moim wypadku w node.js) do przechowywania informacji o klientach?

7. Kto odpowiada w razie jakiejkolwiek wtopy? Mój Klient, czy ja?

1 odpowiedź

odpowiedź 22 września 2019 przez rafal.budzis Szeryf (85,900 p.)

Firebase chyba wie co robi jeśli dobrze wszystko ustawisz pewnie będzie git (wydaje mi się ze mają autoryzacje po koncie Google będzie to bezpieczniejsze niż hash hasła w bazie danych firebase). Ale nie lepiej skorzystać z gotowca? Ja miałbym większe zaufanie gdybym zrobił całość bazując na rozwiązaniach typu Magento / presta shop lub nawet wordpress z WooCommerce. Dodatkowo mniej roboty - machniesz ładną szatę graficzną i będzie git. Potem tylko będziesz aktualizował a Twój klient będzie się zachwycał mnogością opcji filtrowania i zarządzania zamówieniami w panelu admina.

Co do 7 to zależy od umowy :)

Ewentualnie "bieda" opcja to zrobić "sklep" który prezentuje produkty z allegro. Zero odpowiedzialności za przelewy itp :) A na samym allegro też by się dało sprzedawać :)

komentarz 22 września 2019 przez ZenekChe Początkujący (250 p.)

Dzięki za odp.

Co do pozostałych technicznych rzeczy wszelkie gotowce odpadają, jest to dosyć niestandardowy projekt i nie do końca sklep a kilka produktów customizowanych przez klienta + sporo innych opcji. W dodatku nie znam się na tych gotowcach gdyż to nie moja działka :) Szybciej mi zrobić zrobić headless cms'a + stronke ssr.