立即开户
快速上手技巧,轻松学会,高效掌握!
快速上手技巧,轻松学会,高效掌握!
“我们正在效仿拉瑞安工作室的模式,通过抢先体验不断完善游戏,”马勒表示,“确保正式版能呈现独一无二、定义一代玩家的作品。”
Supabase 安全防坑指南:你的 anon key 其实是透明的
最恋战略,莫得皆备主理不要我方作念用户登录和收付款。只需要抱大腿。比如在Steam,Apple,等平台发布产物。
在使用 Supabase 斥地口头时,我发现许多生手(包括早期的我)都会有一个误区:合计唯有把anon key藏在环境变量里就安全了。
万生优配但事实是:你的anon key根柢不是高明。它是发送给浏览器和客户端的,任何东谈主都能拿到。
Supabase 的安全护城河不在于掩饰这个 key,而在于你的RLS(行级安全战略)。
今天我整理了一份 Supabase 安全硬化指南,要是你正在用它作念小口头,提出对照查验。
中枢风险:那把“全能钥匙”
Supabase 提供了两把钥匙:
anonkey:公开的。就像你家大门的把手,谁都能摸到。service_rolekey:超等惩办员。它会绕过通盘的 RLS 法例。皆备不可清晰在客户端代码里!
要是你的数据漏了,频繁不是因为 key 被盗,而是因为你的 RLS 战略(Row Level Security)根柢没开,省略写得太松。
常见的几个“大坑”
在看代码前,先望望这几个典型的翻车现场:
完全没开启 RLS:这是头号死法。唯有没开,anon变装就能通过 REST API 读写所稀有据。过于宽厚的战略:比如FOR SELECT USING (true),这额外于平直把数据表公开给全东谈主类。盲目信任客户端传来的 User ID:要是你在战略里用user_id = request.body.user_id,10大配资公司黑客只需要改一下申请包里的 ID,就能看别东谈主的数据。动手硬化:小口头标 5 步安全战略 第一步:开启 RLS,坐窝,立地!
在插入任何数据前,先实施这一句。默许情况下,开启 RLS 但不写 Policy,意味着“零造访”。
ALTER TABLE your_table ENABLE ROW LEVEL SECURITY;第二步:只信任auth.uid()
弥远不要深信客户端发来的 User ID。Supabase 的 JWT 是流程考据的,用auth.uid()才是防点窜的。
-- ✅ 安全作念法:通过考据后的 JWT 取顺应前用户 ID\nCREATE POLICY \"own_data_only\" ON notes\n FOR ALL USING (auth.uid() = user_id)\n WITH CHECK (auth.uid() = user_id);第三步:显式法例anon变装
除非你明确需要公开,不然默许应该圮绝匿名造访。比如,只允许匿名用户读取设为“公开”的著作:
-- 只允许读取公开本体\nCREATE POLICY \"public_posts\" ON posts\n FOR SELECT USING (is_public = true);第四步:使用SECURITY DEFINER函数
关于复杂的逻辑,提出写成 Postgres 函数并放在劳动端启动。
CREATE FUNCTION get_my_profile()\nRETURNS json\nLANGUAGE sql\nSECURITY DEFINER -- 以函数通盘者权限启动,而非调用者\nAS $$\n SELECT row_to_json(profiles) FROM profiles WHERE id = auth.uid();\n$$;第五步:别忘了 Storage 存储桶
即便表锁死了,要是 Storage Bucket 设为 Public,内部的文献依然是裸奔的。提出针对文献夹作念 RLS:
-- 只允许用户上传到我方的文献夹\nCREATE POLICY \"user_folder_only\" ON storage.objects\n FOR INSERT WITH CHECK (\n auth.uid()::text = (storage.foldername(name))[1]\n );我的安全 CheckList
每次口头上线前,我会扫一遍清单:
通盘表都开启了 RLS战略里一谈使用auth.uid()service_rolekey 只存在于劳动端的.env.env仍是加到了.gitignore在 Supabase Dashboard 的 Policy 模拟器里测过anon权限对敏锐表禁用了 Realtime 及时订阅结语
记取 Supabase 安全的黄金法例:把你的anon key当成完全公开的东西。你的安全模子必须完全设置在 RLS 战略和数据库函数上。
要是你在作念测试口头,最快的安全决策便是:给每張表都開 RLS,但不寫任何 Policy,直到你明確知谈哪裡需要開放。
但愿这些教养能帮你消散数据外泄的坑!
恒正网配资佳禾资本佰朔资本广禾配资胜亿优配10大配资公司提示:文章来自网络,不代表本站观点。
