Der Supabase Anon Key (auch bekannt als 'public' oder 'anon' Key) ist ein API-Schlüssel, der sicher in clientseitigem Code, wie deinem Webbrowser oder deiner mobilen Anwendung, exponiert werden kann. Er gewährt anonymen Zugriff auf die API-Endpunkte deines Supabase-Projekts und ermöglicht es nicht authentifizierten Benutzern, mit deiner Datenbank und Authentifizierungsdiensten zu interagieren.
Da er öffentlich exponiert ist, stützt sich der Anon Key stark auf Row Level Security (RLS)-Richtlinien in deiner PostgreSQL-Datenbank, um unbefugten Datenzugriff zu verhindern. Ohne robuste RLS-Richtlinien würde die Exposition des Anon Keys jedem ermöglichen, beliebige Daten in deiner Datenbank zu lesen oder zu schreiben. Wenn du beispielsweise eine öffentliche Blog-Post-Tabelle hast, könntest du anonymen Benutzern das Lesen von Posts erlauben, aber nur authentifizierten Benutzern das Erstellen neuer Posts, alles durch RLS erzwungen.
Wenn sich ein Benutzer authentifiziert, wird der Anon Key typischerweise gegen ein benutzerspezifisches JWT (JSON Web Token) ausgetauscht, das es dann RLS-Richtlinien ermöglicht, Regeln basierend auf der ID und den Rollen des authentifizierten Benutzers anzuwenden. Dies macht den Anon Key zu einem grundlegenden Element für den Aufbau sicherer, clientgesteuerter Anwendungen mit Supabase, solange RLS korrekt konfiguriert ist.