# 【2026年版】Supabase本番運用ガイド:公式ドキュメント準拠でNext.js × RLS × Realtime × Edge Functionsを実装する > Supabaseを「とりあえず動く」から「本番に耐える」へ。公式ドキュメント(2026-06-24時点)に忠実に、@supabase/ssrによるNext.js 16認証、RLSの正しい書き方と性能最適化、getClaimsとJWT署名鍵、Realtime Broadcast、Edge Functions(withSupabase)、Storage、pgvectorまでを実コードと判断基準つきで体系化した実践ガイドです。 - 公開日: 2026-06-24 - 著者: 友田 陽大 - タグ: Supabase, PostgreSQL, RLS, Next.js, TypeScript, リアルタイム, アーキテクチャ設計 - URL: https://tomodahinata.com/blog/supabase-production-guide-nextjs-rls-realtime-edge-functions ## 要点 - Supabase は生の Postgres が土台でロックインが浅く、RLS で認可を DB に寄せる『Postgres 中心設計』が前提のときに最も強い - @supabase/ssr 認証は Cookie を getAll/setAll のみで扱い、ミドルウェアでセッションを更新する。get/set/remove は使わない - サーバーの認可判断は getClaims() が第一選択(非対称鍵 ES256 ならローカル検証で高速)。getSession() は認可に使わない - RLS は (select auth.uid()) でのサブクエリ包み・索引・to ロール指定で桁違いに速くなり、認可データは app_metadata に置く - Realtime は規模が出るなら Postgres Changes より Broadcast、Edge Functions は CPU 2秒制約ゆえ軽量な API・Webhook 向き --- 「Supabaseは速く作れる」——これは本当です。けれど、速く作れることと**本番運用に耐えること**は別物です。匿名キーをそのままクライアントに配り、RLSを書かずにテーブルを公開し、サーバーで `getSession()` を信用してしまう——こうした"とりあえず動く"実装は、ローンチ翌日のインシデントになって返ってきます。 この記事は、Supabaseを**本番で安全に・速く・保守できる形で使い切る**ための実践ガイドです。前半で「いつ選ぶべきか」という設計判断を、後半で認証・RLS・Realtime・Edge Functions・Storage・Vectorの**実コード**を扱います。 > **この記事のルール:一次情報は公式ドキュメント。** > 本文中のAPI・SQL・推奨事項はすべて [supabase.com/docs](https://supabase.com/docs) を **2026-06-24時点**で確認した内容に基づきます。Supabaseは更新が速いプロダクトです。API名や推奨は変わり得るため、各節末に**一次情報のURL**を併記しました。実装前に必ず最新版を確認してください。記事の役割は、公式ドキュメントを**より速く・正しく咀嚼する**ための地図を提供することです。 --- ## 0. Supabaseとは何か(公式の定義) 公式は Supabase を **「open source Firebase alternative」**、すなわち**Postgresを中核に据えたバックエンド開発ツールキット**と位置づけています。重要なのは、これが"Postgresの抽象化"ではなく**生のPostgresそのもの**だという点です。公式の言葉を借りれば「Every Supabase project is a full Postgres database」。逃げ場がない独自DBではなく、いつでも `pg_dump` して持ち出せる標準のPostgresが土台にあります。 Supabaseは、そのPostgresの周りにオープンソースのコンポーネントを束ねた構成になっています([architecture](https://supabase.com/docs/guides/getting-started/architecture))。 | コンポーネント | 役割 | 実体 | | --- | --- | --- | | **Postgres** | データベース本体 | PostgreSQL | | **Studio** | 管理ダッシュボード | OSS | | **Auth (GoTrue)** | ユーザー管理・JWT発行 | GoTrue | | **Data API** | テーブルを自動でREST化 | PostgREST | | **Realtime** | WebSocket(変更購読・Presence・Broadcast) | Realtime Server | | **Storage** | S3互換のオブジェクトストレージ | Storage API | | **Edge Functions** | サーバーレス関数(TypeScript) | Supabase Edge Runtime(Deno互換) | | **Supavisor** | コネクションプーラ | Supavisor | | **Kong** | APIゲートウェイ | Kong (NGINX) | そして AI 用途では **pgvector** 拡張により「すでに持っているDBがそのままベクトルDBになる(The best vector database is the database you already have)」という設計思想を打ち出しています([guides/ai](https://supabase.com/docs/guides/ai))。 > 一次情報: [What is Supabase / Architecture](https://supabase.com/docs/guides/getting-started/architecture) --- ## 1. いつSupabaseを選ぶべきか(適材適所の判断) 技術選定で最も多い失敗は「流行っているから」です。私の実務上の判断基準を、トレードオフとともに明示します。 ### 向いているケース - **リレーショナルなデータモデルが中心**。トランザクション、外部キー、JOIN、制約をDBに寄せたい。 - **認証・ストレージ・リアルタイムをワンストップで**揃えたい。個別にAuth0 + S3 + WebSocketサーバーを組むより、初期の認知負荷とコストが圧倒的に低い。 - **少人数で速く立ち上げたい**。一人〜小規模チームのMVP〜中規模SaaS。 - **クライアント(Web/モバイル)から直接DBを叩きたい**。PostgRESTとRLSの組み合わせが効く領域。 - **将来の移行可能性を残したい**。生のPostgresなので、ロックインが浅い。 ### 慎重に検討すべきケース - **超高頻度の書き込み × 全クライアント配信**が主役のアプリ。Realtimeの設計を誤るとコストとスケールで詰まる(後述の「Broadcast vs Postgres Changes」を参照)。 - **複雑なバックエンドのドメインロジックの塊**。Edge Functionsは軽量なAPI・Webhook向き。重い業務ロジックの本体は、別のアプリ層(Next.jsのRoute Handlers / 専用APIサーバー)に置くべき場面が多い。 - **既に巨大なPostgres運用ノウハウを持つ組織**。マネージドの制約より自前運用の自由度が勝つこともある。 > **判断のコツ**:Supabaseは「Postgresを中心に据えた設計が正しいか」を問うリトマス試験紙です。データの真実をDBに寄せたいなら強力に効きます。逆に、DBを単なる永続化層としか見ない設計なら、Supabaseの旨味(RLS・PostgREST・Realtime authorization)の多くを捨てることになります。 --- ## 2. 認証 × Next.js 16(App Router)— `@supabase/ssr` の正しい作法 ここが**最も事故の多い領域**です。2026年時点の正解を、公式に忠実に固めます。 ### 2.1 前提:使うパッケージと環境変数 - 認証クライアントは **`@supabase/ssr`**(`@supabase/supabase-js` と併用)。 - **旧 `@supabase/auth-helpers-nextjs` は非推奨**です。新規実装で使ってはいけません([移行ガイド](https://supabase.com/docs/guides/troubleshooting/how-to-migrate-from-supabase-auth-helpers-to-ssr-package-5NRunM))。 - 環境変数は現行の **publishable key** 命名を推奨(旧 `ANON_KEY` も後方互換で動作します)。 ```bash # .env.local NEXT_PUBLIC_SUPABASE_URL= NEXT_PUBLIC_SUPABASE_PUBLISHABLE_KEY= ``` ```bash npm install @supabase/supabase-js @supabase/ssr ``` ### 2.2 鉄則:Cookieは `getAll` / `setAll` だけを使う 公式ドキュメントの最重要警告を、そのまま受け取ってください。 > **`getAll` と `setAll` だけを使うこと。`get` / `set` / `remove` は絶対に使わないこと。** `get` / `set` / `remove` は**非推奨**であり、正しく実装するのが難しく、エッジケースに対応できません。これを破ると「ランダムなログアウト」「セッションの早期切断」「状態の不整合」という、再現しにくく厄介なバグを生みます([creating-a-client](https://supabase.com/docs/guides/auth/server-side/creating-a-client))。 ### 2.3 ブラウザ用クライアント ```ts // lib/supabase/client.ts import { createBrowserClient } from "@supabase/ssr"; export const createClient = () => createBrowserClient( process.env.NEXT_PUBLIC_SUPABASE_URL!, process.env.NEXT_PUBLIC_SUPABASE_PUBLISHABLE_KEY!, ); ``` ### 2.4 サーバー用クライアント(Next.js 16:`cookies()` は `await`) Next.js 15/16では `cookies()` が**非同期**です。`createClient` を `async` にして `await cookies()` する形が正解です。 ```ts // lib/supabase/server.ts import { createServerClient } from "@supabase/ssr"; import { cookies } from "next/headers"; export async function createClient() { const cookieStore = await cookies(); return createServerClient( process.env.NEXT_PUBLIC_SUPABASE_URL!, process.env.NEXT_PUBLIC_SUPABASE_PUBLISHABLE_KEY!, { cookies: { getAll() { return cookieStore.getAll(); }, setAll(cookiesToSet) { try { cookiesToSet.forEach(({ name, value, options }) => cookieStore.set(name, value, options), ); } catch { // Server Component から setAll が呼ばれたケース。 // ミドルウェアでセッションを更新しているなら無視してよい。 } }, }, }, ); } ``` `try/catch` の意図は明確です:**Server ComponentはレスポンスのCookieを書き換えられない**ため、ここでの書き込み失敗は想定内であり、実際のCookie更新は次のミドルウェアが担います。 ### 2.5 ミドルウェア:全リクエストでセッションを更新する Server Componentがトークンを更新(書き込み)できない以上、**ミドルウェアがリクエストごとにトークンをリフレッシュする**役割を負います。これを省くと、アクセストークンが切れた瞬間に静かにログアウトします。 ```ts // lib/supabase/middleware.ts import { createServerClient } from "@supabase/ssr"; import { NextResponse, type NextRequest } from "next/server"; export async function updateSession(request: NextRequest) { let supabaseResponse = NextResponse.next({ request }); const supabase = createServerClient( process.env.NEXT_PUBLIC_SUPABASE_URL!, process.env.NEXT_PUBLIC_SUPABASE_PUBLISHABLE_KEY!, { cookies: { getAll() { return request.cookies.getAll(); }, setAll(cookiesToSet) { cookiesToSet.forEach(({ name, value }) => request.cookies.set(name, value), ); supabaseResponse = NextResponse.next({ request }); cookiesToSet.forEach(({ name, value, options }) => supabaseResponse.cookies.set(name, value, options), ); }, }, }, ); // 重要:ここでセッション(トークン)をリフレッシュする const { data: { user }, } = await supabase.auth.getUser(); // 未認証ユーザーを保護ページから弾くリダイレクトはここに書く if (!user && request.nextUrl.pathname.startsWith("/app")) { const url = request.nextUrl.clone(); url.pathname = "/login"; return NextResponse.redirect(url); } return supabaseResponse; } ``` ```ts // middleware.ts import { type NextRequest } from "next/server"; import { updateSession } from "@/lib/supabase/middleware"; export async function middleware(request: NextRequest) { return await updateSession(request); } export const config = { matcher: ["/((?!_next/static|_next/image|favicon.ico|.*\\.svg$).*)"], }; ``` ### 2.6 サーバーで「誰か」を判断する3つのAPIの使い分け ここが認証の核心です。3つの選択肢の挙動と信頼性は**まったく違います**。 | API | 何をするか | サーバーで信頼してよいか | | --- | --- | --- | | `getSession()` | 保存済みのセッションを読むだけ | **❌ 信頼してはいけない**。トークンの再検証を保証しない | | `getUser()` | **Auth サーバーへネットワーク要求**して本人確認 | ✅ 真正。認可の根拠にしてよい | | `getClaims()` | JWTを**JWKSで検証**してクレームを取り出す | ✅ 推奨。非対称鍵なら**ローカル検証**で高速 | 公式は明確です。 > **サーバーコードの中で `getSession()` を信頼してはいけない。** トークンの再検証を保証しないため、認可の根拠にしてはならない。生のトークン(access/refresh/期限)を読むときだけ使うこと。 一方 `getClaims()` は新しい推奨で、**JWTをJWKSエンドポイントで検証**してからクレームを返します。プロジェクトが**非対称署名鍵(ES256/RS256)**を使っていれば**ローカル検証**で完結し(多くの場合キャッシュも効くため `getUser()` より大幅に速い)、対称鍵(HS256)の場合はAuthサーバーへの問い合わせになります。 ```ts // Server Component / Route Handler での認可 import { createClient } from "@/lib/supabase/server"; export default async function DashboardPage() { const supabase = await createClient(); // 推奨:getClaims()(非対称鍵ならローカル検証で高速) const { data, error } = await supabase.auth.getClaims(); if (error || !data) redirect("/login"); const userId = data.claims.sub; // …userId を根拠に認可・データ取得 } ``` > **使い分けの結論** > - **ページ/データの保護(認可判断)**:`getClaims()` を第一選択。非対称鍵未設定でも `getUser()` で代替可。 > - **ミドルウェアのトークン更新**:`getUser()`(リフレッシュを強制する)。 > - **生トークンが必要なときだけ**:`getSession()`。認可には使わない。 ### 2.7 JWT署名鍵:対称鍵から非対称鍵へ(2025〜GA) `getClaims()` の高速ローカル検証を可能にするのが **JWT Signing Keys** です。従来の「全JWTを1つの共有シークレットで署名する」方式は**非推奨**になりました(後方互換のため残存)。 - **ES256(NIST P-256楕円曲線)=推奨**。RSAより速く、署名が短い=**Cookieが小さくなる**。 - **RS256(RSA 2048)**:広く対応するが遅め。公式はP-256を推奨。 - **EdDSA(Ed25519)**:「Coming soon」。 - **HS256(共有シークレット)**:本番非推奨。 非対称鍵を有効化すると、JWTの検証は**Authサーバーを介さず**に行え、公開鍵は JWKS エンドポイント `https://.supabase.co/auth/v1/.well-known/jwks.json` から取得できます。鍵のローテーションは「standby → current → previously-used → revoke」の流れで、**ユーザーを強制ログアウトさせずゼロダウンタイム**で回せます。 > **実務的な意味**:非対称鍵 + `getClaims()` は、RLSを多用するアプリのサーバー側認可コストを劇的に下げます。新規プロジェクトでは**最初からES256を有効化**しておくのが定石です。 > 一次情報: [Server-side Auth (Next.js)](https://supabase.com/docs/guides/auth/server-side/nextjs) / [Creating a client](https://supabase.com/docs/guides/auth/server-side/creating-a-client) / [getClaims](https://supabase.com/docs/reference/javascript/auth-getclaims) / [JWT Signing Keys](https://supabase.com/docs/guides/auth/signing-keys) --- ## 3. Row Level Security(RLS)— DBに認可を寄せる PostgRESTでテーブルをクライアントに公開する以上、**認可はDBの行レベルで強制する**のが大原則です。公式の言葉どおり「RLSは、クライアントからDBを直接クエリしても安全にするための仕組み」です。 > RLSの「なぜ」と、オフライン同時編集という極限ケースでの設計判断は、別記事「[クライアントを信じない設計:オフライン同時編集アプリで整合性と認可をPostgreSQLに寄せる](/blog/untrusted-client-postgres-rls-offline-first)」で実プロダクトを題材に深掘りしています。本節は**公式準拠のリファレンス**として、正しい書き方と性能を体系化します。 ### 3.1 有効化とポリシーの形 ```sql -- まずテーブルでRLSを有効化(これを忘れると全公開) alter table public.todos enable row level security; ``` ポリシーの基本形は次のとおりです。 ```sql create policy "<ポリシー名>" on <テーブル> for