本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。 本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。在构建用户参与型功能(例如"鼓掌""点赞""收藏")时,仅依赖客户端身份认证(如 signInWithPassword)和简单的 RLS 读写控制是远远不够的。正如你所观察到的:即使启用了"仅限认证用户更新"的 RLS 策略,攻击者仍可通过浏览器控制台或 Postman 复用有效的 Authorization Bearer Token 和 apikey,反复发送伪造的 UPDATE 请求,无限刷高计数------这本质上是缺乏操作原子性、状态校验与行为约束所致。关键在于:不要直接更新计数字段(如 claps_count INT),而应记录每一次真实发生的用户行为事件。换言之,将"鼓掌"建模为一个不可变的、带上下文的原子操作(即插入一条记录),再通过聚合查询获取最终计数。这种设计天然支持防刷、限频、去重、审计与数据分析。? 推荐方案:事件表 + 强约束 RLS首先创建 claps 表,记录每次鼓掌的完整上下文:-- 创建鼓掌事件表(主键为 (post_id, user_id),天然防止重复鼓掌)create table if not exists public.claps ( post_id uuid references public.posts on delete cascade not null, user_id uuid references auth.users on delete cascade not null, created_at timestamp with time zone default timezone('utc'::text, now()) not null, PRIMARY KEY (post_id, user_id) -- 关键:联合主键确保单用户对单内容仅能鼓掌一次);-- 启用行级安全alter table public.claps enable row level security;-- 允许所有认证用户查询(如获取某文章总鼓掌数)create policy "Anyone can read claps"on claps for selectusing ( true );-- 仅允许用户为自己插入鼓掌记录(且不能伪造 user_id)create policy "Users can insert their own clap"on claps for insertwith check ( auth.uid() = user_id );? 为什么有效? Fotor AI Image Generator Fotor 平台的 AI 图片生成器
相关推荐
92year3 小时前
用Google ADK从零搭一个能调工具的AI Agent:Python实操全过程woxihuan1234563 小时前
SQL删除数据时存在依赖关系_设置外键级联删除ON DELETE东风破1373 小时前
DM8达梦共享存储集群DSC搭建步骤雪碧聊技术4 小时前
当数据库字段数大于Java实体类属性数时,MyBatis还能映射成功吗?一文详解Jetev4 小时前
如何确定SQL字段是否为空_使用IS NULL与IS NOT NULL蛐蛐蛐4 小时前
昇腾910B4上安装新版本CANN的正确流程m0_702036534 小时前
mysql如何处理不走索引的OR查询_使用UNION ALL优化重写代钦塔拉4 小时前
Qt4 vs Qt5 带参数信号槽的连接方式详解2401_846339564 小时前
MySQL在云环境如何选择存储类型_SSD与高性能云盘配置建议2601_957780845 小时前
Claude 4.6 对阵 GPT-5.4:2026 开发者大模型 API 选型深度解析