在Supabase创建用户登录并获取token的操作实践

于 2024-08-31 00:30:00 发布
阅读量934 收藏 26
点赞数 12
分类专栏: Web DB|SQL JS 文章标签: supabse anon key service_role RLS token 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/albertsh/article/details/141725939
版权
DB|SQL 同时被 3 个专栏收录
26 篇文章 2 订阅
订阅专栏
JS
5 篇文章 0 订阅
订阅专栏
Web
4 篇文章 0 订阅
订阅专栏
#你是如何克服编程学习中的挫折感的?#

文章目录

前言

网站是我今年加点儿比较重的技能,另一项是物理机与云主机,既要接网线做系统换硬盘,又要对比多个运营商买点互联网基础服务,反正截止到现在来看今年过的有些不一样,小游戏的兴起预示着前端快速出demo的时代到来,看看市场上对游戏后端的招聘的寥寥岗位,或许服务器开发正在迎来冰点,今天不聊游戏,我们来看看网站开发的相关内容。

说起网站开发,这算是大学软件工程里专业里比较拿的出手的产品了,毕竟真的可以从头做一个网站,虽然简陋但五脏俱全,是一项真真正正的计算机技能,从最原始的html,到ASP、jSP,我那时都是有所涉猎的,毕业之后便从事了游戏开发,网站这条路也就放下了。

到后来写博客,自己折腾hexo静态站,github pages等等,又接触了图床、云主机、域名、SSL证书、网站备案等等,虽然学的不是主流开发技术,但是一直和网站是有点联系的,在我看来静态网站是比较好弄的,大多数是将创作内容编译成html文件,放到互联网上供人们访问就好了,即使样式做出花来,也缺乏交互的部分,比如静态站的聊天一定得引入第三方插件来维护才行,要想做动态站一定得引入后端,引入一个非html语言来写后端的逻辑,最常见的就是访问数据库、登录验证等等,说到网站后端我除了用ASP、JSP写过,也就是C#和Java,后来还用C语言、Python、Golang、JavaScript写过,我的思维还一直停留在这。

初识Supabase

当我接触了supabase以后我发现一切都变了,使用它根本就不需要网站后端来编写什么查询数据和登录鉴权的逻辑,这些操作都可以由前端完成,这是把网站后端吃饭的碗给砸了呀,说到supabase就不得不提到Vercel以及Nextjs,最近几年Nodejs大火,大有统一前后端铸就全栈之势,Vercel和Nextjs就是在Nodejs上发展起来的,起初我以为Nextjs和Hexo类似,都是生成的一些静态站点页面的,但随着学习的深入它这是把前后端的开发都包了呀,编写好的页面可以根据需要选择在服务器执行还是客户端执行,有一段时间我觉得它和Gin等go语言的web框架很像,由go语言完成后端逻辑和前端页面的编写,但仔细对比下来还是不同的,go语言编写的网站总的来说都运行在服务端,前端表现有些弱,而Nodejs这一套写下来完成分不出来哪是前端,哪是后端,放在哪运行完全看你的需要,想要交互多一点就放前端,想要安全认证多一些就放后端。

虽然Nodejs的框架Nextjs有后端的概念,但是如果引入了supabase作为项目后端的存储,那么像登录鉴权这些通用需求完全不用编写后端的逻辑,supabase自带的,你敢相信?

supabase自带文件存储和数据库,虽然Vercel本身也带这些,但是supabase更胜一筹,它提出实现了 RLS(Row-Level Security)规则,这是Supabase中的一种安全机制,用于限制特定用户对数据库表中行的访问权限。

在Supabase中,可以使用RLS规则来定义哪些用户可以访问或修改特定的数据行。这些规则可以基于用户的标识符、角色或其他属性进行设置。通过定义RLS规则,您可以确保只有符合规则的用户才能访问或修改相应的数据行,从而保护数据的隐私和完整性。

例如,你可以创建一个RLS规则,只允许管理员访问某个表的所有数据,而普通用户只能访问他们自己的数据行。这样,你可以根据不同的用户角色和需求来定制数据库的访问权限。这样说有些懵,可以举个具体的例子,比如网站上你的个性签名存放在一个Table表里,这个表允许所有注册的用户来插入,每个人插入自己的个性签名这没有问题,当要修改签名时你只能修改归属于你这个用户的行,这样就保证了数据的安全性,并且这些插入和更新的操作都可以在前端的代码里来写,而不用像以往的网站开发那样,将数据表单发送到后端在通过后端更新数据库。

使用Supabase

接下来通过一个实例感受一下,这些内容官方文档大部分都有,感兴趣的可以取翻一翻,我一般使用python写工具,下面主要用python的API来举例,比如说注册用户:

import os
from supabase import create_client, Client

url: str = "https://vtarqsksexgmfbotqnve.supabase.co"
key: str = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88"
supabase: Client = create_client(url, key)

response = supabase.auth.sign_up(
    credentials={"email": "myname@qq.com", "password": "my-pwd"}
)
print(response)

这段代码就完成了用户注册的逻辑,前端就能完成,url是supabase提供的项目地址,key是这个项目的anon key,这个key是public的可以放在前端页面里用于验证项目信息,当然很多网站不用python来写,使用js同样可以轻松完成这项任务

import { createClient } from '@supabase/supabase-js'

// Create a single supabase client for interacting with your database
const supabase = createClient('https://vtarqsksexgmfbotqnve.supabase.co', 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88')

const { data, error } = await supabase.auth.signUp({
  email: 'myname@qq.com',
  password: 'my-pwd',
})

以上是注册部分,使用 anon key 就可以完成,但是当你需要插入数据或更新数据时,假如数据要求认证用户才能操作,这就需要你获取一个证明你身份的token,看起来就像JWT,代码如下:

import os
from supabase import create_client, Client

url: str = "https://vtarqsksexgmfbotqnve.supabase.co"
key: str = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88"
supabase: Client = create_client(url, key)

data = supabase.auth.sign_in_with_password({"email": "myname@qq.com", "password": "my-pwd"})
print(data)

JavaScript版本如下:

import { createClient } from '@supabase/supabase-js'

// Create a single supabase client for interacting with your database
const supabase = createClient('https://vtarqsksexgmfbotqnve.supabase.co', 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88')

const { data, error } = await supabase.auth.signInWithPassword({
  email: 'myname@qq.com',
  password: 'my-pwd',
})

有些情况下使用Restful API更方便

curl -X POST 'https://vtarqsksexgmfbotqnve.supabase.co/auth/v1/token?grant_type=password' \
-H "apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88" \
-H "Content-Type: application/json" \
-d '{
  "email": "myname@qq.com",
  "password": "my-pwd",
}'

tokne默认3600,我没找到自定义有效时间的方式,但是找到了刷新token的方式,可以按照下面的格式刷新token,这样你可以获得新的token

curl -X POST 'https://vtarqsksexgmfbotqnve.supabase.co/auth/v1/token?grant_type=refresh_token' \
-H "apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InZ0YXJxc2tzZXhnbWZib3RxbmN3Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MjA2ODIxODcsImV4cCI6MjAzNjI1ODE4N30.72bccRrlebY8rDTbVjYX5hlzhvU1llO96JDhLNZvN88" \
-H "Content-Type: application/json" \
-d '{
  "refresh_token": "6wFEh3rwgRzdM_VGHK3OJg"
}'

有了登录的token就可以调用supabase的各种接口来操作数据啦,比如创建一个桶,上传一个文档,获取某个表的全部数据等等,supabase的接口客户端支持多种语言,但是Restful API就不太全,不知道什么原因,可能是我没有找对地方。

Supabase经验之谈

我是一个supabase新手,在使用过程中积累了一点点经验,有些东西是网上查来的,有些是官网文档里看来的,不得不说这官方文档写的是真棒,但有些东西查文档很难定位,还是需要实际操作,比如怎样修改Project API keys,在后台 Project API keys 这个区域并没有修改和重新生成的按钮,通过时间发现,重新生成一个JWT secret 后, anon keyservice_role key 就都跟着变了,看官方操作提示:

Confirm to generate a new JWT secret

This will invalidate all existing API keys

Generating a new JWT secret will invalidate all of your API keys, including your service_role and anon keys. Your project will also be restarted during this process, which will terminate any existing connections. You may receive API errors for up to 2 minutes while the new secret is deployed.

This action cannot be undone and the old JWT secret will be lost. All existing API keys will be invalidated, and any open connections will be terminated.

而关于anon keyservice_role key使用注意事项,其实一直都在这两个 key 的旁边写着,我还到处查资料,甚至做了很多实验来验证,虽然多花了些时间,但记忆更深一些:

anon public

This key is safe to use in a browser if you have enabled Row Level Security for your tables and configured policies.

service_role secret

This key has the ability to bypass Row Level Security. Never share it publicly.

总结来说 anon key 能放在浏览器不用担心泄露,可以查询符合RLS规则的数据,而 service_role key 一定要保管好,它可以绕过RLS规则,或者数据的完全控制权限。

总结

  • 不管是游戏行业还是网站开发,单纯的后端开发人员正在慢慢缩减走向淘汰,可以转前端也可以走全栈
  • supabase的使用可以一定程度上去掉单独的后端逻辑,鉴权和数据获取完全交给前端和supabase配合
  • 使用supabase需要用到Project API keys,这包括anon keyservice_role key
  • anon key 可以暴露给任何人,所以放到前端页面中下载到用户浏览器也没有关系
  • service_role key 一定要保管好,它拥有着对整个项目的控制权,完全不遵守 RLS 规则
  • RLS(Row-Level Security)规则是Supabase中的一种安全机制,用于限制特定用户对数据库表中行的访问权限
==>> 反爬链接,请勿点击,原地爆炸,概不负责!<<==

如果你想活成你自己,就不要在乎别人说什么,且当他人之凝视如盏盏鬼火,大胆的走你的夜路,待你功成名就之时,自有大儒替你辨经

AlbertS
关注
  • 12
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何使用 Supabase Auth 在您的应用程序中设置身份验证
晓风晓浪
02-01 1285
简单来说,身份验证是用户向系统标识自己的过程,系统确认该用户就是他们所声称的身份。另一方面,授权是系统确定允许用户查看或交互应用程序的哪些部分以及不允许用户访问应用程序的哪些部分的过程。
使用 Railway 和 Supabase 零成本搭建 n8n 自动化平台
云原生实验室
09-15 2873
❝本文转自 Reorx’s Forge,原文:https://reorx.com/blog/0-cost-self-hosted-n8n-with-railway-and-supabase/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang在前文 使用自动化工作流聚合信息摄入和输出[1] 中,我介绍了如何在 NAS 提供的 Docker 环境安装 n8n,以及 n...
开发者硬核:Web3 DApp 最佳编程实践指南
陀螺财经
10-28 3250
本文作者郭宇,Checks Finance、CodeforDAO创始人,原文链接:https://guoyu.mirror.xyz/RD-xkpoxasAU7x5MIJmiCX4gll3Cs0pAd5iM258S1Ek自宣布进入创业间隔年以来,CodeforDAO(GitHub)与ChecksFinance(@checksfinance)两个项目进入了密集而紧张的迭代周期,在合约编写,单元测试,工...
应用实战|微信小程序开发示例之Super课表
NimbleX_的博客
09-15 1290
此示例提供了使用 MemFire Cloud 构建一个课表的小程序的步骤。小程序用到的MemFire Cloud的功能包括:云数据库:存储小程序数据表的信息。用户验证:小程序使用MemFire Cloud提供的用户认证的API接口,快速完成用户注册登录操作。云存储:存储小程序的注册用户上传的头像。行级安全策略:采用RLS策略来限制用户访问行为,用户可以修改个人信息,上传个人头像。即时API:创建数据表时会自动生成 API。
不写代码也能年薪百万?Prompt+低代码开发实战
QcloudCommunity的博客
06-07 1519
????腾小云导读近期 AIGC 狂潮席卷,“前端走向穷途”“低代码时代终结”的言论甚嚣尘上。事实上 GPT 不仅不会干掉低代码,反而会大幅度促进低代码相关系统的开发。本文会介绍 GPT Prompt Engineering 的基本原理,以及如何帮助低代码平台相关技术快速开发落地的技术方案。接着往下看吧~????看目录点收藏,随时涨技术1 提示工程1.1 提示工程基本概念1.2 如何使用 Op...
2020 年度实用工具 Top 100推荐!
Python研究所
02-22 3573
在过去的 2020 年,诞生了哪些新的开发工具?最优秀的开发工具和开发服务是什么?全栈级程序员们是怎么使用它们来开发顶尖的软件和服务?StackShare 是一个开发者工具及服务分享平台,...
Typescript 全栈最值得学习的技术栈 TRPC
kuizuo12的博客
03-08 4309
本文介绍了 tRPC 技术以及它与传统 RESTful API 的区别。同时 tRPC 可以帮助人们更快地开发全栈 TypeScript 应用程序,同时无需传统的 API 层,并保证应用程序在快速迭代时的稳定性。
FastAPI+MemFire Cloud+LangChain开发ChatGPT应用
最新发布
weixin_44957042的博客
06-12 1130
FastAPI 是一个用于构建 API 的现代、快速(高性能)的 web 框架,使用 Python 3.6+ 开发。「快速」:可与「NodeJS」和「Go」并肩的极高性能(归功于 Starlette 和 Pydantic)。最快的 Python web 框架之一。「高效编码」:提高功能开发速度约 200% 至 300%。「更少 bug」:减少约 40% 的人为(开发者)导致错误。「智能」:极佳的编辑器支持。处处皆可自动补全,减少调试时间。「简单」:设计的易于使用和学习,阅读文档的时间更短。
本地知识库+语言大模型=知域问答
2301_81887304的博客
02-22 1798
本地知识库通常是指存储在本地计算机或服务器上的数据库或数据集,用于提供本地环境下的知识和信息。langchain是一个开发基于语言模型应用程序开发框架,链接面向用户程序和LLM之间的中间层。利用LangChain可以轻松管理和语言模型的交互,将多个组件链接在一起,比如各种LLM模型,提示模板,索引,代理等等。
SpringBoot实践(十五):登录的token操作
叶子叶来
09-14 2895
前后端的REST接口交互需要维持token信息作为鉴权依据,除了首次登录/login接口拿到用户信息外,其他所有接口都需要过interceptor拦截器进行拦截鉴权,而后进行数据交互,用户信息又对应一类权限Auth,反应到前端上就是路由权限了,后端token操作逻辑可以理解分为3步: 1、首次login放行,服务端生成token返回给客户端; 2、其他请求携带token,服务端验证通过后返回数据; 3、token有失效机制,超 目录 构造User用户 用户验证impl token生成器
vue实现登录_获取token_拉取用户信息
weixin_48429986的博客
06-09 4172
vue实现登录_获取token_拉取用户信息 一、接上之前封装和跨域的文章来简单进行登录页面功能 ​ 这里接上之前的; 第一步 //封装好的接口文件、获取的是一个模拟的接口 import { login } from './API_TYPE' //封装的axios的post方法 import { POST } from './request' 在这里默认抛出一个匿名函数并准备接收*用户名*和*密码* export default function (username, password) { //返回这个
php token获取用户信息,Laravel JWT 通过token获取用户信息
weixin_42186579的博客
03-20 3230
[官方文档 ](https://github.com/tymondesigns/jwt-auth/wiki/Authentication)1.控制器```use Tymon\JWTAuth\Exceptions\TokenExpiredException;use Tymon\JWTAuth\Facades\JWTAuth;public function getAuthenticatedUser()...
在vue中如何获取token,并将token写进header
Sitarry的博客
04-23 7183
需要准备的东西Vue+axios+Vuex+Vue-router 1.在login.vue中通过发送http请求获取token //根据api接口获取token var url = this.HOST + "/session"; this.$axios.post(url, { username: this.loginForm.username, password: this.loginForm.pass }).then(res => { // console.log(res.data); thi
tp6登录JWT获取token并认证
aaa50820的博客
12-26 1811
1.命令创建jwt插件 composer require lcobucci/jwt 3.3 在模块中创建extend/tools/jwt/Token.php <?php namespace app\login\extend\tools\jwt; use Lcobucci\JWT\Signer\Hmac\Sha256; use Lcobucci\JWT\Builder; use Lcobucci\JWT\Parser; use Lcobucci\JWT\ValidationDa...
mysql 诡异的1054错误
热门推荐
AlbertS Home of Technology
06-17 6万+
前言今天在工作中遇到一个非常坑爹的问题,有关Mysql的异常处理,花费了我好几个小时的时间,最后终于解决了,然后根据出现的问题的原因,逆向来看自己解决问题的过程,发现网上的一些文章简直是太坑了,坑的人找不着北啊,最后总结一下吧,免得又踩到这个坑。先交代一下环境和背景:问题出现在工作的项目中,工程代码在运行的过程中会调用事先定义好的存储过程来保存数据,因为字段太多,大概有好几百个,我就想着把一些废弃的
Mysql中使用count加条件统计
AlbertS Home of Technology
06-02 5万+
最近发现在处理Mysql问题时,count()函数频繁上镜,常常出现在分组统计的情景下,但是有时候并不是使用group by分好组就可以直接统计了,比如说一个常见的需求,统计每个班级男生所占的比例,这种情况一般会按照班级分组,但是分组内不但要统计班级的人数,还要统计男生的人数,也就是说统计是有条件的,之前确实没有考虑过怎样实心,后来查询了资料,总结在这里... Mysql中c...
Mysql批量删除数据库
AlbertS Home of Technology
12-19 2万+
前言删除数据库的命令对于有点数据库操作经验的人应该不会陌生,命令结构如下: drop database DBName; 将上述命令中的DBName换成要删除的数据库的名字,就可以直接删除对应的数据库。但是有时候我们会出现这种困扰,就是测试的数据库一大堆,想要把它们都删掉时,采用一个个删除的方式有很浪费时间,有没有类似于like语句的模糊删除呢?很抱歉,在Mysql上我至今还没有找到...
mysql检查数据库是否存在某列,若不存在则添加
AlbertS Home of Technology
04-27 1万+
mysql检查列是否存在自动添加
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AlbertS

常来“玩”啊~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值