数据安全保障
Supabase 帮助您控制数据访问权限。通过访问策略,您可以保护敏感数据,确保用户只能访问他们被授权查看的内容。
安全连接您的应用
Supabase 允许您使用自动生成的数据 API访问数据库。这加速了 Web 应用的开发过程,因为您无需编写自己的后端服务来处理数据库查询和结果传递。
只要您遵循以下原则,就可以在从前端访问数据 API 时保持数据安全:
- 为表启用行级安全 (RLS)
- 创建 Supabase 客户端时使用您的 匿名密钥
启用 RLS 后,您的匿名密钥可以安全地暴露,因为行访问权限会根据您的访问策略和用户的JSON Web Token (JWT)进行验证。如果用户使用 Supabase Auth 登录,Supabase 客户端库会自动发送 JWT。
切勿在前端暴露服务角色密钥
与匿名密钥不同,您的服务角色密钥****永远不能安全暴露,因为它会绕过 RLS。仅在后端使用服务角色密钥。请将其视为机密(例如,作为敏感环境变量导入而非硬编码)。
更多信息
Supabase 和 Postgres 提供了多种安全管理方式,包括但不限于行级安全。更多信息请参阅访问与安全相关页面: