这是我第一次使用数据库，我不确定应该如何处理。我想创建一个Web应用程序，而此Web应用程序应该从ArangoDB请求信息。此Web应用程序将包含敏感的用户信息。
我在前端编写了一些JS代码，但很快意识到，为了从Arango API请求身份验证JWT令牌，我将root用户和root密码暴露给任何审核代码的人。

await getAuthenticationToken('username here', 'password here');

第二个重要的观察结果是，当在cookie中保存JWT标记时，可以通过编程方式访问此cookie，这可能是一个严重的安全问题。
我读到需要将JWT标记字符串存储在http cookie中，这样就不能访问它。
这个API通信代码是否属于后端，或者我是否可以通过前端JS访问一个php脚本，它只处理凭证/身份验证令牌/请求？
有人建议在数据库中添加多个用户。我觉得允许随机用户直接但有限地访问数据库是一个坏主意，即使可以对这些权限进行细粒度控制。当然，为数据库创建用户只是为员工而不是随机应用程序用户提供的功能。--或者我在这里遗漏了什么？