Cách Quản Lý Role và Permission Trong Supabase Hiệu Quả

-- Tạo role editor
CREATE ROLE editor;

-- Cấp quyền login cho role
ALTER ROLE editor WITH LOGIN;

GRANT authenticated TO editor;

DROP ROLE editor;

Lưu ý: Một số role hệ thống không thể xóa, chỉ có thể gán hoặc thu hồi quyền.

Gán Permission cho Role

Sau khi có role, bước tiếp theo là gán permission cụ thể cho role đó trên các bảng. Trong Supabase, bạn có thể thực hiện qua SQL hoặc bảng điều khiển (Table Editor).

Ví dụ, cấp quyền SELECT, INSERT, UPDATE cho role editor trên bảng posts:

GRANT SELECT, INSERT, UPDATE ON posts TO editor;
GRANT USAGE, SELECT ON SEQUENCE posts_id_seq TO editor;

Nếu muốn thu hồi quyền:

REVOKE ALL ON posts FROM editor;

Bạn cũng có thể sử dụng Row Level Security (RLS) để kiểm soát quyền ở cấp độ từng dòng dữ liệu. RLS giúp đảm bảo người dùng chỉ nhìn thấy hoặc thao tác được với dữ liệu mà họ được phép.

Row Level Security (RLS) trong Supabase

RLS là tính năng mạnh mẽ của Postgres, cho phép bạn viết policy (chính sách) để kiểm soát truy cập dữ liệu. Để bật RLS cho bảng posts:

ALTER TABLE posts ENABLE ROW LEVEL SECURITY;

Tiếp theo, tạo policy cho role editor:

CREATE POLICY "Editors can view and edit own posts" ON posts
  FOR ALL
  TO editor
  USING (user_id = auth.uid())
  WITH CHECK (user_id = auth.uid());

Policy trên cho phép editor chỉ được xem và sửa những dòng posts do chính họ tạo ra (user_id = auth.uid()). Bạn có thể tạo nhiều policy khác nhau cho các role khác nhau.

Quản lý Role và Permission qua Supabase Dashboard

Ngoài việc dùng SQL, Supabase cung cấp giao diện thân thiện trong phần Authentication > User management và Policies để quản lý role và permission. Bạn có thể:

– Xem danh sách role và user.
– Gán role cho user cụ thể.
– Tạo, chỉnh sửa policy một cách trực quan.
– Test policy trước khi áp dụng.

Thực hành tốt khi quản lý Role và Permission

– Nguyên tắc tối thiểu quyền (Principle of Least Privilege): Chỉ cấp những quyền thực sự cần thiết cho từng role.
– Sử dụng tên role có ý nghĩa: Giúp dễ quản lý và hiểu mục đích của từng role.
– Kiểm tra và cập nhật policy thường xuyên: Khi ứng dụng phát triển, yêu cầu về quyền hạn có thể thay đổi.
– Test kỹ trước khi triển khai: Đảm bảo role và policy hoạt động đúng như mong đợi.

Kết luận

Quản lý role và permission trong Supabase không chỉ giúp bảo mật dữ liệu, mà còn mang lại trải nghiệm người dùng tốt hơn bằng cách hiển thị đúng nội dung cho đúng đối tượng. Với sự kết hợp giữa Postgres và các công cụ trực quan của Supabase, bạn hoàn toàn có thể xây dựng một hệ thống phân quyền mạnh mẽ, dễ bảo trì và mở rộng. Hãy bắt đầu từ những bước cơ bản, kiểm thử kỹ lưỡng, và dần hoàn thiện hệ thống permission theo nhu cầu thực tế của ứng dụng.