Lập trường
Firestore là datastore chính; Firebase Auth xác minh actor; repository/consent gate quyết định dữ liệu được dùng thế nào.
- Dùng Firebase Admin SDK ở server/API route, không dùng client SDK cho write path nhạy cảm.
- Admin adapter vẫn phải đi qua repository/consent gate; Admin SDK không phải giấy phép bỏ qua quyền dữ liệu.
- Mọi write path phải append audit event sau khi ghi thành công.
- Firestore security rules bảo vệ client path; server path phải tự kiểm tra role/action/data boundary.