一个基于Supabase的小应用,能有多少安全讲究?开发者David在开源项目Altair前,把"纵深防御"拆成了5个可复用的代码模式。

第一道防线是行级安全策略(RLS)。即使数据库连接泄露,攻击者也只能读到自己的数据。第二道是数据库函数封装——所有写操作走存储过程,业务逻辑不暴露在客户端。

打开网易新闻 查看精彩图片

第三招更隐蔽:应用层二次校验。RLS放行后,代码再筛一遍权限边界。第四是审计日志埋点,谁在什么时候改了什么,全程可追溯。

打开网易新闻 查看精彩图片

最后一道是环境隔离。本地、预览、生产三套配置硬编码进部署流水线,杜绝"不小心连了生产库"的人为事故。

打开网易新闻 查看精彩图片

David把这5个模式写进了项目模板。他的逻辑很直接:安全不是功能做完了再贴补丁,是架构设计阶段就要埋进去的假设。