如何在 Supabase 中安全实现用户“鼓掌”计数(防刷、防重放、防越权)

本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。 本文详解如何通过 rls 策略 + 合理数据建模,在 supabase 中安全实现用户交互式操作(如虚拟鼓掌),杜绝前端恶意请求篡改计数,兼顾安全性与可扩展性。在构建用户参与型功能(例如"鼓掌""点赞""收藏")时,仅依赖客户端身份认证(如 signInWithPassword)和简单的 RLS 读写控制是远远不够的。正如你所观察到的:即使启用了"仅限认证用户更新"的 RLS 策略,攻击者仍可通过浏览器控制台或 Postman 复用有效的 Authorization Bearer Token 和 apikey,反复发送伪造的 UPDATE 请求,无限刷高计数------这本质上是缺乏操作原子性、状态校验与行为约束所致。关键在于:不要直接更新计数字段(如 claps_count INT),而应记录每一次真实发生的用户行为事件。换言之,将"鼓掌"建模为一个不可变的、带上下文的原子操作(即插入一条记录),再通过聚合查询获取最终计数。这种设计天然支持防刷、限频、去重、审计与数据分析。? 推荐方案:事件表 + 强约束 RLS首先创建 claps 表,记录每次鼓掌的完整上下文:-- 创建鼓掌事件表(主键为 (post_id, user_id),天然防止重复鼓掌)create table if not exists public.claps ( post_id uuid references public.posts on delete cascade not null, user_id uuid references auth.users on delete cascade not null, created_at timestamp with time zone default timezone('utc'::text, now()) not null, PRIMARY KEY (post_id, user_id) -- 关键:联合主键确保单用户对单内容仅能鼓掌一次);-- 启用行级安全alter table public.claps enable row level security;-- 允许所有认证用户查询(如获取某文章总鼓掌数)create policy "Anyone can read claps"on claps for selectusing ( true );-- 仅允许用户为自己插入鼓掌记录(且不能伪造 user_id)create policy "Users can insert their own clap"on claps for insertwith check ( auth.uid() = user_id );? 为什么有效? Fotor AI Image Generator Fotor 平台的 AI 图片生成器

相关推荐
汤姆小白9 小时前
01-环境搭建与项目导览
人工智能·python·机器学习·numpy
AI-好学者14 小时前
阶段一-图数据库基础与PropertyGraph模型
数据库·rag·knowledge graph·graphrag
向日的葵00615 小时前
langchain的Tools教程(三)
python·langchain·tools
其实防守也摸鱼16 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
懒鸟一枚16 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
龙仔72516 小时前
SQL Server 创建只读账号完整操作(分两种场景:SSMS图形界面 + T-SQL脚本)
数据库·sql·oracle
言乐616 小时前
Python实现可运行解密游戏游戏框架
python·游戏·小程序·游戏程序·关卡设计
霁月的小屋16 小时前
生产环境中的事务实践——银行系统上线记(四)
数据库
YUS云生16 小时前
Python学习笔记·第31天:FastAPI入门——路由、路径参数、查询参数与请求体
笔记·python·学习
Database_Cool_17 小时前
AI 应用数据底座首选:阿里云 PolarDB 为大模型 RAG 提供一体化支撑
数据库·阿里云