So beheben Sie einen exponierten Supabase-Schlüssel
Es gibt zwei Fälle. Der anon-Schlüssel ist als öffentlich gedacht – wenn nur er exponiert ist, ist RLS Ihre Lösung. Aber wenn Ihr Service-Role-Schlüssel in den Client oder ein öffentliches Repo gelangt ist, ist Ihre gesamte Datenbank exponiert und Sie müssen ihn sofort rotieren.
Schritt für Schritt
- 1
Identifizieren Sie, welcher Schlüssel geleakt ist
Den anon-Schlüssel (öffentlich) offenzulegen, ist in Ordnung. Den service_role-Schlüssel nicht – er umgeht RLS und gewährt vollen Zugriff.
- 2
Wenn der Service-Role-Schlüssel geleakt ist, rotieren Sie ihn jetzt
Generieren Sie unter Supabase → Project Settings → API den Service-Role-Schlüssel neu und aktualisieren Sie ihn nur in serverseitigen Umgebungsvariablen.
- 3
Entfernen Sie den Schlüssel aus Client-Code und git-Historie
Streichen Sie ihn aus dem Bundle und löschen Sie ihn vollständig aus der git-Historie (sonst bleibt er in alten Commits erhalten).
- 4
Riegeln Sie unabhängig davon mit RLS ab
Aktivieren Sie Row-Level Security, damit ein geleakter anon-Schlüssel Ihre Daten selbst dann nicht lesen kann, wenn er exponiert ist.
Wollen Sie es verifiziert, nicht nur behoben?
Die Behebung ist der erste Schritt. Eine ClearedToShip-Prüfung bestätigt, dass die Korrektur tatsächlich hält, und gibt Ihnen eine unterschriebene, versicherte Freigabe zum Launch. Sichern Sie sich Early Access: