本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。 本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。在构建用户参与型功能(例如"鼓掌""点赞""收藏")时,仅依赖客户端身份认证(如 signInWithPassword)和简单的 RLS 读写控制是远远不够的。正如你所观察到的:即使启用了"仅限认证用户更新"的 RLS 策略,攻击者仍可通过浏览器控制台或 Postman 复用有效的 Authorization Bearer Token 和 apikey,反复发送伪造的 UPDATE 请求,无限刷高计数------这本质上是缺乏操作原子性、状态校验与行为约束所致。关键在于:不要直接更新计数字段(如 claps_count INT),而应记录每一次真实发生的用户行为事件。换言之,将"鼓掌"建模为一个不可变的、带上下文的原子操作(即插入一条记录),再通过聚合查询获取最终计数。这种设计天然支持防刷、限频、去重、审计与数据分析。? 推荐方案:事件表 + 强约束 RLS首先创建 claps 表,记录每次鼓掌的完整上下文:-- 创建鼓掌事件表(主键为 (post_id, user_id),天然防止重复鼓掌)create table if not exists public.claps ( post_id uuid references public.posts on delete cascade not null, user_id uuid references auth.users on delete cascade not null, created_at timestamp with time zone default timezone('utc'::text, now()) not null, PRIMARY KEY (post_id, user_id) -- 关键:联合主键确保单用户对单内容仅能鼓掌一次);-- 启用行级安全alter table public.claps enable row level security;-- 允许所有认证用户查询(如获取某文章总鼓掌数)create policy "Anyone can read claps"on claps for selectusing ( true );-- 仅允许用户为自己插入鼓掌记录(且不能伪造 user_id)create policy "Users can insert their own clap"on claps for insertwith check ( auth.uid() = user_id );? 为什么有效? Fotor AI Image Generator Fotor 平台的 AI 图片生成器
相关推荐
m0_678485452 小时前
SQL利用窗口函数实现轻量级报表设计_实战技巧m0_747854522 小时前
CSS实现卡片式布局_浮动元素与clearfix的应用2401_835956812 小时前
如何处理SQL查询中的逻辑重叠:AND OR嵌套优先级2301_796588502 小时前
Redis怎样优化大量Lua并发调用带来的CPU压力l1t2 小时前
利用python statsmodels包分析数据2301_796588502 小时前
如何阻止 HTML 页面在 JavaScript 脚本执行完成前渲染DeepModel2 小时前
通俗易懂讲透 EM 算法(期望最大化)海海不掉头发2 小时前
【AI大模型实战项目】大模型入门实战:两个落地项目保姆级教程12月14日-【项目】基于知识库RAG的物流行业信息问答系统2301_773553622 小时前
mysql执行SQL查询时结果不一致_检查事务隔离级别设置与幻读