データベース・RLS（Supabase / Postgres / 認可）の設計ガイド

「Supabase RLSを書いたのにNext.jsだとデータが空で返る/全部見える」の原因は、ほぼクライアントの作り方です。@supabase/ssrのcreateBrowserClient/createServerClient、cookieのgetAll/setAll、middlewareのgetUser/getClaims、JWTがauth.uid()に伝わる仕組み、service_roleをクライアントで使ってはいけない理由まで、App Router前提で公式準拠の実コードで解説します。

Supabase Realtimeの認可を、realtime.messagesテーブルへのRLSで設計する実装ガイド。private:trueとsetAuthでプライベートチャンネルを有効化し、realtime.topic()とextension（broadcast/presence）で『そのルームのメンバーだけが送受信できる』を表現、postgres_changesは対象テーブル自身のRLSを尊重する仕組み、JWT失効と再認証、(select)ラップの最適化まで、公式準拠の実コードで解説します。

Supabase（PostgreSQL）の行レベルセキュリティ(RLS)を、ゼロから最初のポリシーが書けるまで丁寧に解説する入門ガイド。enable row level security、SELECT/INSERT/UPDATE/DELETEポリシー、USING/WITH CHECK、GRANTとRLSの2層モデル、anon/authenticated/service_role、初心者が必ずハマる5つの罠まで、公式準拠の実コードで。

Supabase（PostgreSQL）の行レベルセキュリティ(RLS)は正しく書いても遅くなる。auth.uid()の(select)ラップでper-row評価をInitPlanに畳む、ポリシー列へ索引を張る、TOでロールを絞る、JOINを集合参照に書き換える、security definer関数とJWTクレームでルックアップを消す——公式ベンチマーク準拠の6つの最適化を、EXPLAIN ANALYZEの計測手順つきで実コード解説します。

Supabase（PostgreSQL）でRBACをRLSに統合する公式パターンを実装ガイド化。app_role/app_permission列挙とuser_roles/role_permissionsテーブル、custom_access_token_hookでJWTにrole claimを載せる、security definerなauthorize()関数で権限を判定、RLSポリシーからauthorize()を呼ぶ、ロール変更後のトークン更新とapp_metadata vs user_metadataの安全な使い分けまで、公式準拠の実コードで解説します。

Supabase（PostgreSQL）の行レベルセキュリティ(RLS)でよく遭遇する3大症状——『SELECTが空で返る』『new row violates row-level security policyでINSERTが弾かれる』『RLSが効かずデータが漏れる』——を、原因の切り分けフローと診断SQL（pg_policies・relrowsecurity・auth.uid()・set local role）で体系的にデバッグします。公式準拠で、推測ではなく証拠で直す手順。

Supabase Storageのアクセス制御を、storage.objectsへのRLSポリシーで設計する実装ガイド。ポリシーが無ければアップロード不可（デフォルト拒否）、bucket_idとstorage.foldername(name)による『uidフォルダ＝自分のファイルだけ』パターン、公開/非公開バケットと署名URL、file_size_limit/MIME制限の多層防御、Next.jsからの安全なアップロードまで、公式準拠の実コードで解説します。

TypeScript / Next.js から pgvector を型安全に扱う実装ガイド。Drizzle ORM の vector 列と HNSW インデックスのスキーマ定義、拡張の有効化（drizzle-kit は生成しないので手動マイグレーション）、cosineDistance による kNN クエリ、Server Action での Zod 境界検証と埋め込み生成、SQLインジェクション安全性、アクセシブルな検索UIまでを実コードで解説します。

Drizzle ORM（TypeScript）を本番運用する実装ガイド。スキーマ・コードからの型推論（$inferSelect/$inferInsert）、SQLライクなクエリビルダとリレーショナルクエリ、drizzle-kitのマイグレーション、トランザクション、prepared statement、Edge互換、そしてPrismaとの使い分けを、すべて実コードで解説します。

B2Bマルチテナント SaaS で他テナントのデータ・PIIを絶対に漏らさないためのデータ分離と認可設計ガイド。silo/pool/bridge の分離戦略、BOLA/IDOR・ID列挙対策、二層スキーマでのPIIスコープ、ルーター層に一元化した業種/ロール認可、そして分離を証明するテスト/ペネトレまでを、AWS公式とOWASPに忠実に実コードで解説します。

Supabaseの行レベルセキュリティ(RLS)でマルチテナントSaaSの認可をゼロトラストにDB層へ寄せる本番設計ガイド。anon/authenticated/service_role、USING/WITH CHECK、tenant_id分離、(select auth.uid())のパフォーマンス最適化、pgTAPテストまで、公式準拠の再利用可能パターンを実コードで解説します。

Supabase/PostgreSQLの行レベルセキュリティ(RLS)を本番で信頼するためのテスト戦略。pgTAPでrequest.jwt.claimsを切り替えて許可と拒否の両方を検証し、SECURITY DEFINERとsearch_pathの落とし穴、RLSカバレッジのCIゲート、マイグレーション安全性(squawk)までを実コードで解説します。RLSは書いて終わりではなく、テストして初めて本番で信頼できます。

電波の悪い球場で複数人が同じ試合を同時にスコアリングする——その整合性と多層的な認可を、WebSocketブロードキャストやクライアント側の出し分けに頼らず、決定的な冪等性キーとPostgreSQLの行レベルセキュリティ(RLS)でDB層に寄せた実装を、Supabase/Expo/Next.jsモノレポの実コードとともに解説します。