Cómo corregir una clave de Supabase expuesta
Hay dos casos. La clave anon está pensada para ser pública: si es lo único que está expuesto, RLS es tu corrección. Pero si tu clave service-role llegó al cliente o a un repositorio público, toda tu base de datos queda expuesta y debes rotarla de inmediato.
Paso a paso
- 1
Identifica qué clave se filtró
La clave anon (pública) puede exponerse sin problema. La clave service_role no: omite RLS y otorga acceso completo.
- 2
Si se filtró la clave service-role, rótala ahora
En Supabase → Project Settings → API, regenera la clave service-role y actualízala solo en las variables de entorno del lado del servidor.
- 3
Elimina la clave del código del cliente y del historial de git
Quítala del paquete y púrgala del historial de git (de lo contrario permanece en commits antiguos).
- 4
Bloquea con RLS de todas formas
Activa la seguridad a nivel de fila para que una clave anon filtrada no pueda leer tus datos aunque esté expuesta.
¿Quieres que lo verifiquen, no solo que lo corrijan?
Corregirlo es el primer paso. Una revisión de ClearedToShip confirma que la corrección realmente se sostiene y te entrega una autorización firmada y asegurada para lanzar. Únete al acceso anticipado: