在现代 Web 应用开发中,构建 MVP(最简可行产品)时,后端基础设施的搭建常常成为主要瓶颈。开发者需要处理数据库、API、用户认证、权限控制、文件存储等多个模块,开发成本较高。
Supabase 提供了一种替代方案:它以 PostgreSQL 为核心,通过一系列集成服务,将数据库、API、认证、实时通信等功能整合在一起,使开发者不用编写后端代码就能够快速构建完整的后端系统。
本文将系统性地介绍 Supabase 的核心机制与工作流程,帮助理解其如何实现“后端即服务(BaaS)”的开发模式。
一、Supabase 的本质:一个增强的 PostgreSQL 实例
Supabase 的底层是一个标准的 PostgreSQL 数据库。它并非使用私有或封闭的数据引擎,而是基于开源的 PostgreSQL 构建,并在此基础上提供了一系列附加服务。
这意味着:
- 可以使用任何兼容 PostgreSQL 的客户端工具(如 DBeaver、TablePlus)直接连接。
- 支持 PostgreSQL 的高级特性,如 JSONB、全文检索、GIS、触发器、函数、视图等。
- 可通过 SQL 编辑器执行自定义查询或数据迁移。
在 Supabase 控制台上方的Connect菜单中可以获取连接信息:
其中给出了各种方式连接数据库的方法,包括直接通过客户端工具连接,在前端框架中连接,在ORM工具中连接等等:
Supabase 拥有多种资费档位,其中免费计划包含 500MB 存储、5万月请求和 1GB 文件存储,已经足够个人项目使用
二、自动 API 生成:PostgREST 的作用
Supabase 的一个核心特性是:在创建数据库表后,系统会自动生成对应的 RESTful API。
这背后的关键技术是 PostgREST,一个将 PostgreSQL 数据库直接映射为 REST API 的开源项目。
例如,创建一个待办事项表todos:
保存后,Supabase 会为该表暴露以下接口:
| 操作 | 方法 | URL |
|---|---|---|
| 查询所有待办 | GET |
/rest/v1/todos |
| 新增待办 | POST |
/rest/v1/todos |
| 更新指定待办 | PATCH |
/rest/v1/todos?id=eq.1 |
| 删除指定待办 | DELETE |
/rest/v1/todos?id=eq.1 |
同时查询支持多种操作符,如 eq, neq, gt, lt, like, in 等,而且可组合使用。例如:
/rest/v1/todos?status=eq.active&priority=gte.2
这些 API 无需手动编写,由 PostgREST 在运行时动态生成。
在控制台的API Docs页面
点击表名,就可以查看相关的API文档
三、官方SDK
Supabase 提供官方 的JavaScript SDK @supabase/supabase-js,用于简化与后端服务的交互。
import { createClient } from '@supabase/supabase-js'const supabase = createClient('https://your-project.supabase.co',process.env.SUPABASE_ANON_KEY
)// 查询待办事项
async function fetchTodos() {const { data, error } = await supabase.from('todos').select('*').order('created_at', { ascending: false })if (error) console.error(error)else return data
}// 添加新任务
async function addTodo(title) {const { error } = await supabase.from('todos').insert([{ title }])if (error) throw error
}// 标记完成
async function markDone(id) {await supabase.from('todos').update({ is_done: true }).eq('id', id)
}
通过该 SDK,前端可以直接与数据库交互,实现完整的 CRUD 操作,而无需额外编写后端服务。
除此之外,也有其他语言的SDK版本
四、身份认证系统
Supabase 内置了 Supabase Auth,一个基于 JWT 的身份认证服务,支持多种登录方式:
- 邮箱密码 / Magic Link
- OAuth 第三方登录(Google、GitHub、Apple 等)
- 自定义 JWT 登录(适用于 SSO 集成)
用户登录后,SDK 会自动管理 JWT,并在后续请求中携带该凭证。
const { data, error } = await supabase.auth.signInWithPassword({email: 'user@example.com',password: 'password'
})
登录成功后,所有数据库操作都会携带用户身份信息。在数据库层面,可通过 auth.uid() 函数获取当前用户 ID,用于权限判断或数据绑定。
五、权限控制:行级安全(RLS)
Supabase 使用 PostgreSQL 的 Row Level Security(RLS) 实现细粒度的访问控制。
在Authentication - Policies菜单中可以设置为指定的表开启RLS:
启用 RLS 后,数据库会默认拒绝所有操作,除非显式定义允许的策略。
这也是很多新手容易踩坑的地方,我明明已经按照文档说明设置了数据库连接,为什么查询不到数据?多半情况下就是因为开启了RLS
RLS 的优势在于:权限逻辑直接定义在数据库层,对所有访问路径(REST、Realtime、SQL 客户端)均生效,避免了在应用层重复实现权限校验。
针对用户身份认证和权限控制的具体实践,将在后面的文章中详细说明
六、实时数据同步
Supabase 提供 Realtime 服务,基于 WebSocket 实现数据库变更的实时推送。
开发者可以订阅特定表或查询的变更事件,支持的事件类型包括 INSERT、UPDATE、DELETE、TRUNCATE。
Realtime 服务同样受 RLS 策略保护,只有被授权的数据变更才会推送给客户端。
七、文件存储
Supabase 提供对象存储服务(Storage),类似于 AWS S3,可用于存储图片、文档等文件。
存储权限也可通过 RLS 策略控制,例如限制用户只能上传到自己的目录。
八、扩展能力
Supabase支持安装PostgreSQL扩展来增强能力,在Database - Extensions菜单中即可找到能安装的扩展列表
尤其需要提一下的是,Supabase 支持安装 PostgreSQL的vector 扩展,这使得 PostgreSQL 能够存储和查询向量数据,适用于语义搜索、RAG(检索增强生成)等现在流行的 AI 场景。
九、开源与自托管
Supabase 不仅是一个云服务,更是一个完全开源的项目。其所有核心组件(包括数据库接口、认证系统、实时引擎、存储服务等)均在 GitHub 上公开:https://github.com/supabase/supabase
这使得用户可以自行部署Supabase到自己的服务器上运行,同时可以进行定制化二次开发以更加配合业务场景。
结语
Supabase 是一个以 PostgreSQL 为核心,围绕开发者体验构建的集成化后端平台。它的核心理念在于:将数据库作为应用开发的起点,通过自动化和标准化的方式,减少重复性的后端开发工作。
围绕 PostgreSQL,Supabase 构建了一个统一的服务体系。开发者可以在一个平台上完成数据建模、接口暴露、权限配置、文件管理与 AI 集成,避免了在多个服务之间切换和集成的复杂性。
Supabase 大大减少了在底层基础设施和环境配置上需要投入的精力,尤其适合个人开发者或小型开发团队使用。