Mở đầu
Trong thời đại của các ứng dụng web và di động, API không chỉ là cầu nối giữa client và database, mà còn là yếu tố quyết định trải nghiệm người dùng. Một API phản hồi nhanh, bảo mật tốt sẽ giúp ứng dụng mượt mà và đáng tin cậy hơn. Supabase, với khả năng tích hợp Row Level Security (RLS) trực tiếp vào PostgreSQL, cho phép chúng ta kiểm soát dữ liệu ở cấp độ từng dòng, đảm bảo mỗi user chỉ thấy những gì họ được phép xem.
Tuy nhiên, nếu không tối ưu, RLS có thể trở thành "điểm nghẽn" hiệu năng, nhất là khi số lượng truy vấn tăng cao. Bài viết này sẽ đi sâu vào cách tối ưu hiệu năng API với Supabase RLS, giúp bạn cân bằng giữa bảo mật và tốc độ.
Row Level Security là gì và tại sao nó quan trọng?
Row Level Security là tính năng của PostgreSQL cho phép bạn định nghĩa chính sách (policy) để kiểm soát ai được phép đọc, thêm, sửa, hoặc xóa từng dòng dữ liệu trong bảng. Ví dụ, user A chỉ thấy bài viết của mình, trong khi user B thấy bài của họ. Supabase tích hợp sẵn tính năng này, giúp việc thiết lập bảo mật trở nên đơn giản hơn bao giờ hết.
Nhưng vấn đề nảy sinh khi số lượng policy và truy vấn tăng lên: mỗi policy sẽ được kiểm tra cho mỗi dòng dữ liệu trả về, có thể làm chậm API. Đó là lý do tại sao tối ưu hiệu năng cho RLS là điều cần thiết.
Các kỹ thuật tối ưu hiệu năng API với Supabase RLS
1. Viết policy đơn giản và chính xác
Mỗi policy RLS được thực thi cho mỗi dòng dữ liệu, vì vậy code càng phức tạp, càng tốn thời gian. Hãy viết policy ngắn gọn, tránh các truy vấn lồng nhau hoặc tính toán phức tạp. Ví dụ:
-- Policy đơn giản, hiệu quả
CREATE POLICY "Users can view own posts" ON posts
FOR SELECT USING (auth.uid() = user_id);Tránh policy kiểu:
-- Policy phức tạp, chậm
CREATE POLICY "Complex policy" ON posts
FOR SELECT USING (
EXISTS (
SELECT 1 FROM users u
WHERE u.id = posts.user_id AND u.status = 'active'
) AND auth.uid() = posts.user_id
);2. Tận dụng chỉ mục (index) hợp lý
Chỉ mục giúp PostgreSQL tìm dữ liệu nhanh hơn. Với RLS, nếu policy sử dụng cột nào, hãy đảm bảo cột đó có chỉ mục. Ví dụ, nếu policy kiểm tra user_id, hãy tạo chỉ mục cho cột này:
CREATE INDEX idx_posts_user_id ON posts(user_id);Ngoài ra, nếu policy sử dụng hàm như auth.uid(), hãy cân nhắc tạo chỉ mục biểu thức (expression index):
CREATE INDEX idx_posts_user_id_auth ON posts((user_id::text));3. Hạn chế dữ liệu trả về
Thay vì SELECT *, hãy chỉ chọn những cột cần thiết. Điều này giúp giảm lượng dữ liệu di chuyển qua mạng và giảm tải cho PostgreSQL. Ví dụ:
Quảng cáo
300x250 In-Content Advertisement
-- Tốt
SELECT id, title, created_at FROM posts WHERE user_id = auth.uid();
-- Không tốt
SELECT * FROM posts WHERE user_id = auth.uid();
4. Tận dụng view và materialised view
Nếu policy phức tạp và thường xuyên được sử dụng, hãy cân nhắc tạo view hoặc materialised view. View giúp đơn giản hóa policy, trong khi materialised view lưu trữ kết quả truy vấn, giúp tăng tốc độ cho các truy vấn thường xuyên.
-- Tạo view đơn giản
CREATE VIEW user_posts AS
SELECT * FROM posts WHERE user_id = auth.uid();
-- Tạo materialised view (cập nhật thủ công)
CREATE MATERIALIZED VIEW user_posts_summary AS
SELECT user_id, COUNT(*) as post_count
FROM posts
GROUP BY user_id;
5. Tối ưu truy vấn và sử dụng database functions
Với các truy vấn phức tạp, hãy sử dụng database functions hoặc stored procedures. Điều này giúp giảm số lần gọi API và tận dụng tối đa sức mạnh của PostgreSQL.
-- Tạo function
CREATE OR REPLACE FUNCTION get_user_posts(p_user_id text)
RETURNS SETOF posts AS $$
BEGIN
RETURN QUERY
SELECT * FROM posts WHERE user_id = p_user_id;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;6. Theo dõi và phân tích hiệu năng
Supabase cung cấp dashboard giúp bạn theo dõi hiệu năng truy vấn. Hãy thường xuyên kiểm tra Execution Plan (EXPLAIN ANALYZE) để phát hiện các điểm nghẽn và tối ưu kịp thời.
EXPLAIN ANALYZE SELECT * FROM posts WHERE user_id = auth.uid();Kết luận
Tối ưu hiệu năng API với Supabase Row Level Security không chỉ giúp ứng dụng của bạn nhanh hơn, mà còn đảm bảo an toàn dữ liệu cho người dùng. Bằng cách viết policy đơn giản, tận dụng chỉ mục, hạn chế dữ liệu trả về, và sử dụng view hay functions hợp lý, bạn có thể cân bằng giữa bảo mật và tốc độ.
Hãy thử áp dụng những kỹ thuật này vào dự án của bạn và theo dõi sự cải thiện về hiệu năng. Nếu có bất kỳ thắc mắc hoặc kinh nghiệm nào muốn chia sẻ, hãy để lại bình luận bên dưới nhé!