Supabase RLSで実装する多段階権限管理システム実践ガイド

Supabase Row Level Security（RLS）を活用することで、データベースレベルでの厳密な権限管理を実現できます。本記事では、組織・チーム・個人という多段階の権限管理システムを、実際のコード例とともに詳しく解説します。

Row Level Security（RLS）とは

RLSは、PostgreSQLの機能で、行レベルでのアクセス制御を可能にします。アプリケーションコードではなく、データベース層でセキュリティを担保するため、より堅牢なシステムを構築できます。

主な利点:

データベースレベルでのセキュリティ
SQLインジェクションのリスク軽減
一元管理された権限ロジック
フロントエンドからの直接アクセスでも安全

多段階権限管理の設計

本記事では、以下の3段階の権限管理を実装します。

組織（Organization）
  └── チーム（Team）
      └── ユーザー（User）

データベーススキーマ設計

-- 組織テーブル
CREATE TABLE organizations (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- チームテーブル
CREATE TABLE teams (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- ユーザーテーブル
CREATE TABLE users (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  email TEXT UNIQUE NOT NULL,
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- 組織メンバーシップ
CREATE TABLE organization_members (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  user_id UUID REFERENCES users(id) ON DELETE CASCADE,
  role TEXT NOT NULL CHECK (role IN ('owner', 'admin', 'member')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  UNIQUE(organization_id, user_id)
);

-- チームメンバーシップ
CREATE TABLE team_members (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  team_id UUID REFERENCES teams(id) ON DELETE CASCADE,
  user_id UUID REFERENCES users(id) ON DELETE CASCADE,
  role TEXT NOT NULL CHECK (role IN ('leader', 'member')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  UNIQUE(team_id, user_id)
);

-- ドキュメントテーブル
CREATE TABLE documents (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  title TEXT NOT NULL,
  content TEXT,
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  team_id UUID REFERENCES teams(id) ON DELETE CASCADE,
  creator_id UUID REFERENCES users(id) ON DELETE SET NULL,
  visibility TEXT NOT NULL CHECK (visibility IN ('public', 'organization', 'team', 'private')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

RLSポリシーの実装

1. 組織レベルの権限管理

組織のオーナーと管理者のみが組織情報を更新できるようにします。

-- RLSを有効化
ALTER TABLE organizations ENABLE ROW LEVEL SECURITY;

-- 全員が自分の所属組織を閲覧可能
CREATE POLICY "Users can view their organizations"
ON organizations FOR SELECT
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
  )
);

-- オーナーと管理者のみが更新可能
CREATE POLICY "Owners and admins can update organizations"
ON organizations FOR UPDATE
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- オーナーのみが削除可能
CREATE POLICY "Only owners can delete organizations"
ON organizations FOR DELETE
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role = 'owner'
  )
);

2. チームレベルの権限管理

チームメンバーがチーム情報を閲覧し、リーダーが更新できるようにします。

ALTER TABLE teams ENABLE ROW LEVEL SECURITY;

-- チームメンバーがチームを閲覧可能
CREATE POLICY "Team members can view their teams"
ON teams FOR SELECT
USING (
  id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
  )
  OR
  -- 組織の管理者も閲覧可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- チームリーダーと組織管理者が更新可能
CREATE POLICY "Team leaders and org admins can update teams"
ON teams FOR UPDATE
USING (
  id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
    AND role = 'leader'
  )
  OR
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

3. ドキュメントレベルの権限管理

visibility フィールドに応じた細かい権限制御を実装します。

ALTER TABLE documents ENABLE ROW LEVEL SECURITY;

-- 閲覧ポリシー
CREATE POLICY "Documents visibility policy"
ON documents FOR SELECT
USING (
  -- 公開ドキュメントは全員が閲覧可能
  visibility = 'public'
  OR
  -- 組織ドキュメントは組織メンバーが閲覧可能
  (
    visibility = 'organization'
    AND organization_id IN (
      SELECT organization_id
      FROM organization_members
      WHERE user_id = auth.uid()
    )
  )
  OR
  -- チームドキュメントはチームメンバーが閲覧可能
  (
    visibility = 'team'
    AND team_id IN (
      SELECT team_id
      FROM team_members
      WHERE user_id = auth.uid()
    )
  )
  OR
  -- プライベートドキュメントは作成者のみ閲覧可能
  (
    visibility = 'private'
    AND creator_id = auth.uid()
  )
);

-- 更新ポリシー
CREATE POLICY "Document owners and admins can update"
ON documents FOR UPDATE
USING (
  -- 作成者は更新可能
  creator_id = auth.uid()
  OR
  -- チームリーダーは更新可能
  team_id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
    AND role = 'leader'
  )
  OR
  -- 組織管理者は更新可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- 削除ポリシー
CREATE POLICY "Document owners and org admins can delete"
ON documents FOR DELETE
USING (
  -- 作成者は削除可能
  creator_id = auth.uid()
  OR
  -- 組織管理者は削除可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

データマスキングの実装

特定のフィールドを権限に応じてマスキングする高度なテクニックです。

-- ビューを使ったデータマスキング
CREATE VIEW documents_with_masking AS
SELECT
  d.id,
  d.title,
  -- 閲覧権限がある場合のみコンテンツを表示
  CASE
    WHEN d.visibility = 'public' THEN d.content
    WHEN d.visibility = 'organization' AND EXISTS (
      SELECT 1 FROM organization_members
      WHERE organization_id = d.organization_id
      AND user_id = auth.uid()
    ) THEN d.content
    WHEN d.visibility = 'team' AND EXISTS (
      SELECT 1 FROM team_members
      WHERE team_id = d.team_id
      AND user_id = auth.uid()
    ) THEN d.content
    WHEN d.visibility = 'private' AND d.creator_id = auth.uid() THEN d.content
    ELSE NULL
  END AS content,
  d.visibility,
  d.created_at,
  d.updated_at
FROM documents d;

-- ビューに対するRLS
ALTER VIEW documents_with_masking SET (security_invoker = on);

アプリケーションコードでの実装

Next.js App Routerでの利用例

// app/actions/documents.ts
'use server'

import { createClient } from '@/lib/supabase/server'

export async function getDocuments(teamId?: string) {
  const supabase = createClient()

  let query = supabase
    .from('documents')
    .select('*')
    .order('created_at', { ascending: false })

  if (teamId) {
    query = query.eq('team_id', teamId)
  }

  const { data, error } = await query

  if (error) {
    throw new Error(`Failed to fetch documents: ${error.message}`)
  }

  return data
}

export async function createDocument(
  title: string,
  content: string,
  visibility: 'public' | 'organization' | 'team' | 'private',
  organizationId: string,
  teamId?: string
) {
  const supabase = createClient()

  const { data: { user } } = await supabase.auth.getUser()

  if (!user) {
    throw new Error('Unauthorized')
  }

  const { data, error } = await supabase
    .from('documents')
    .insert([
      {
        title,
        content,
        visibility,
        organization_id: organizationId,
        team_id: teamId,
        creator_id: user.id,
      },
    ])
    .select()
    .single()

  if (error) {
    throw new Error(`Failed to create document: ${error.message}`)
  }

  return data
}

export async function updateDocument(
  id: string,
  updates: {
    title?: string
    content?: string
    visibility?: 'public' | 'organization' | 'team' | 'private'
  }
) {
  const supabase = createClient()

  const { data, error } = await supabase
    .from('documents')
    .update(updates)
    .eq('id', id)
    .select()
    .single()

  if (error) {
    throw new Error(`Failed to update document: ${error.message}`)
  }

  return data
}

クライアントコンポーネントでの利用

'use client'

import { useEffect, useState } from 'react'
import { createClient } from '@/lib/supabase/client'

export function DocumentList({ teamId }: { teamId?: string }) {
  const [documents, setDocuments] = useState<any[]>([])
  const [loading, setLoading] = useState(true)
  const supabase = createClient()

  useEffect(() => {
    async function fetchDocuments() {
      let query = supabase
        .from('documents')
        .select('*')
        .order('created_at', { ascending: false })

      if (teamId) {
        query = query.eq('team_id', teamId)
      }

      const { data, error } = await query

      if (error) {
        console.error('Error fetching documents:', error)
      } else {
        setDocuments(data || [])
      }

      setLoading(false)
    }

    fetchDocuments()

    // リアルタイムサブスクリプション
    const channel = supabase
      .channel('documents_changes')
      .on(
        'postgres_changes',
        {
          event: '*',
          schema: 'public',
          table: 'documents',
        },
        (payload) => {
          fetchDocuments()
        }
      )
      .subscribe()

    return () => {
      supabase.removeChannel(channel)
    }
  }, [teamId, supabase])

  if (loading) {
    return <div>Loading...</div>
  }

  return (
    <div className="space-y-4">
      {documents.map((doc) => (
        <div key={doc.id} className="p-4 border rounded">
          <h3 className="font-bold">{doc.title}</h3>
          <p className="text-sm text-gray-600">{doc.visibility}</p>
        </div>
      ))}
    </div>
  )
}

テストとデバッグ

RLSポリシーのテスト

-- テストユーザーとしてログイン
SELECT set_config('request.jwt.claims', '{"sub":"test-user-id"}', true);

-- ドキュメントの閲覧テスト
SELECT * FROM documents;

-- 権限のないドキュメントが見えないことを確認

ポリシーの確認

-- テーブルに設定されているポリシーを確認
SELECT
  schemaname,
  tablename,
  policyname,
  permissive,
  roles,
  cmd,
  qual,
  with_check
FROM pg_policies
WHERE tablename = 'documents';

パフォーマンス最適化

インデックスの追加

RLSポリシーで頻繁に参照されるカラムにインデックスを追加します。

-- organization_members
CREATE INDEX idx_organization_members_user_id ON organization_members(user_id);
CREATE INDEX idx_organization_members_org_id ON organization_members(organization_id);

-- team_members
CREATE INDEX idx_team_members_user_id ON team_members(user_id);
CREATE INDEX idx_team_members_team_id ON team_members(team_id);

-- documents
CREATE INDEX idx_documents_creator_id ON documents(creator_id);
CREATE INDEX idx_documents_organization_id ON documents(organization_id);
CREATE INDEX idx_documents_team_id ON documents(team_id);
CREATE INDEX idx_documents_visibility ON documents(visibility);

EXPLAIN ANALYZEでの確認

EXPLAIN ANALYZE
SELECT * FROM documents WHERE visibility = 'public';

セキュリティベストプラクティス

1. デフォルト拒否の原則

すべてのテーブルでRLSを有効化し、明示的に許可されたアクセスのみを許可します。

2. 最小権限の原則

ユーザーには必要最小限の権限のみを付与します。

3. 監査ログの記録

CREATE TABLE audit_logs (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  user_id UUID REFERENCES users(id),
  action TEXT NOT NULL,
  table_name TEXT NOT NULL,
  record_id UUID,
  old_value JSONB,
  new_value JSONB,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- トリガーで自動記録
CREATE OR REPLACE FUNCTION audit_documents()
RETURNS TRIGGER AS $$
BEGIN
  INSERT INTO audit_logs (user_id, action, table_name, record_id, old_value, new_value)
  VALUES (
    auth.uid(),
    TG_OP,
    'documents',
    NEW.id,
    row_to_json(OLD),
    row_to_json(NEW)
  );
  RETURN NEW;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;

CREATE TRIGGER documents_audit
AFTER INSERT OR UPDATE OR DELETE ON documents
FOR EACH ROW EXECUTE FUNCTION audit_documents();

まとめ

Supabase RLSを活用することで、以下のメリットが得られます。

データベースレベルの堅牢なセキュリティ
アプリケーションコードの簡素化
一元管理された権限ロジック
リアルタイム機能との統合

多段階の権限管理システムを実装する際は、本記事で紹介したパターンを参考に、自社のニーズに合わせてカスタマイズしてください。

Supabase RLSで実装する多段階権限管理システム実践ガイド

Row Level Security（RLS）とは

主な利点:

データベースレベルでのセキュリティ
SQLインジェクションのリスク軽減
一元管理された権限ロジック
フロントエンドからの直接アクセスでも安全

多段階権限管理の設計

本記事では、以下の3段階の権限管理を実装します。

組織（Organization）
  └── チーム（Team）
      └── ユーザー（User）

データベーススキーマ設計

-- 組織テーブル
CREATE TABLE organizations (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- チームテーブル
CREATE TABLE teams (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- ユーザーテーブル
CREATE TABLE users (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  email TEXT UNIQUE NOT NULL,
  name TEXT NOT NULL,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- 組織メンバーシップ
CREATE TABLE organization_members (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  user_id UUID REFERENCES users(id) ON DELETE CASCADE,
  role TEXT NOT NULL CHECK (role IN ('owner', 'admin', 'member')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  UNIQUE(organization_id, user_id)
);

-- チームメンバーシップ
CREATE TABLE team_members (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  team_id UUID REFERENCES teams(id) ON DELETE CASCADE,
  user_id UUID REFERENCES users(id) ON DELETE CASCADE,
  role TEXT NOT NULL CHECK (role IN ('leader', 'member')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  UNIQUE(team_id, user_id)
);

-- ドキュメントテーブル
CREATE TABLE documents (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  title TEXT NOT NULL,
  content TEXT,
  organization_id UUID REFERENCES organizations(id) ON DELETE CASCADE,
  team_id UUID REFERENCES teams(id) ON DELETE CASCADE,
  creator_id UUID REFERENCES users(id) ON DELETE SET NULL,
  visibility TEXT NOT NULL CHECK (visibility IN ('public', 'organization', 'team', 'private')),
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW(),
  updated_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

RLSポリシーの実装

1. 組織レベルの権限管理

組織のオーナーと管理者のみが組織情報を更新できるようにします。

-- RLSを有効化
ALTER TABLE organizations ENABLE ROW LEVEL SECURITY;

-- 全員が自分の所属組織を閲覧可能
CREATE POLICY "Users can view their organizations"
ON organizations FOR SELECT
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
  )
);

-- オーナーと管理者のみが更新可能
CREATE POLICY "Owners and admins can update organizations"
ON organizations FOR UPDATE
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- オーナーのみが削除可能
CREATE POLICY "Only owners can delete organizations"
ON organizations FOR DELETE
USING (
  id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role = 'owner'
  )
);

2. チームレベルの権限管理

チームメンバーがチーム情報を閲覧し、リーダーが更新できるようにします。

ALTER TABLE teams ENABLE ROW LEVEL SECURITY;

-- チームメンバーがチームを閲覧可能
CREATE POLICY "Team members can view their teams"
ON teams FOR SELECT
USING (
  id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
  )
  OR
  -- 組織の管理者も閲覧可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- チームリーダーと組織管理者が更新可能
CREATE POLICY "Team leaders and org admins can update teams"
ON teams FOR UPDATE
USING (
  id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
    AND role = 'leader'
  )
  OR
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

3. ドキュメントレベルの権限管理

visibility フィールドに応じた細かい権限制御を実装します。

ALTER TABLE documents ENABLE ROW LEVEL SECURITY;

-- 閲覧ポリシー
CREATE POLICY "Documents visibility policy"
ON documents FOR SELECT
USING (
  -- 公開ドキュメントは全員が閲覧可能
  visibility = 'public'
  OR
  -- 組織ドキュメントは組織メンバーが閲覧可能
  (
    visibility = 'organization'
    AND organization_id IN (
      SELECT organization_id
      FROM organization_members
      WHERE user_id = auth.uid()
    )
  )
  OR
  -- チームドキュメントはチームメンバーが閲覧可能
  (
    visibility = 'team'
    AND team_id IN (
      SELECT team_id
      FROM team_members
      WHERE user_id = auth.uid()
    )
  )
  OR
  -- プライベートドキュメントは作成者のみ閲覧可能
  (
    visibility = 'private'
    AND creator_id = auth.uid()
  )
);

-- 更新ポリシー
CREATE POLICY "Document owners and admins can update"
ON documents FOR UPDATE
USING (
  -- 作成者は更新可能
  creator_id = auth.uid()
  OR
  -- チームリーダーは更新可能
  team_id IN (
    SELECT team_id
    FROM team_members
    WHERE user_id = auth.uid()
    AND role = 'leader'
  )
  OR
  -- 組織管理者は更新可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

-- 削除ポリシー
CREATE POLICY "Document owners and org admins can delete"
ON documents FOR DELETE
USING (
  -- 作成者は削除可能
  creator_id = auth.uid()
  OR
  -- 組織管理者は削除可能
  organization_id IN (
    SELECT organization_id
    FROM organization_members
    WHERE user_id = auth.uid()
    AND role IN ('owner', 'admin')
  )
);

データマスキングの実装

特定のフィールドを権限に応じてマスキングする高度なテクニックです。

-- ビューを使ったデータマスキング
CREATE VIEW documents_with_masking AS
SELECT
  d.id,
  d.title,
  -- 閲覧権限がある場合のみコンテンツを表示
  CASE
    WHEN d.visibility = 'public' THEN d.content
    WHEN d.visibility = 'organization' AND EXISTS (
      SELECT 1 FROM organization_members
      WHERE organization_id = d.organization_id
      AND user_id = auth.uid()
    ) THEN d.content
    WHEN d.visibility = 'team' AND EXISTS (
      SELECT 1 FROM team_members
      WHERE team_id = d.team_id
      AND user_id = auth.uid()
    ) THEN d.content
    WHEN d.visibility = 'private' AND d.creator_id = auth.uid() THEN d.content
    ELSE NULL
  END AS content,
  d.visibility,
  d.created_at,
  d.updated_at
FROM documents d;

-- ビューに対するRLS
ALTER VIEW documents_with_masking SET (security_invoker = on);

アプリケーションコードでの実装

Next.js App Routerでの利用例

// app/actions/documents.ts
'use server'

import { createClient } from '@/lib/supabase/server'

export async function getDocuments(teamId?: string) {
  const supabase = createClient()

  let query = supabase
    .from('documents')
    .select('*')
    .order('created_at', { ascending: false })

  if (teamId) {
    query = query.eq('team_id', teamId)
  }

  const { data, error } = await query

  if (error) {
    throw new Error(`Failed to fetch documents: ${error.message}`)
  }

  return data
}

export async function createDocument(
  title: string,
  content: string,
  visibility: 'public' | 'organization' | 'team' | 'private',
  organizationId: string,
  teamId?: string
) {
  const supabase = createClient()

  const { data: { user } } = await supabase.auth.getUser()

  if (!user) {
    throw new Error('Unauthorized')
  }

  const { data, error } = await supabase
    .from('documents')
    .insert([
      {
        title,
        content,
        visibility,
        organization_id: organizationId,
        team_id: teamId,
        creator_id: user.id,
      },
    ])
    .select()
    .single()

  if (error) {
    throw new Error(`Failed to create document: ${error.message}`)
  }

  return data
}

export async function updateDocument(
  id: string,
  updates: {
    title?: string
    content?: string
    visibility?: 'public' | 'organization' | 'team' | 'private'
  }
) {
  const supabase = createClient()

  const { data, error } = await supabase
    .from('documents')
    .update(updates)
    .eq('id', id)
    .select()
    .single()

  if (error) {
    throw new Error(`Failed to update document: ${error.message}`)
  }

  return data
}

クライアントコンポーネントでの利用

'use client'

import { useEffect, useState } from 'react'
import { createClient } from '@/lib/supabase/client'

export function DocumentList({ teamId }: { teamId?: string }) {
  const [documents, setDocuments] = useState<any[]>([])
  const [loading, setLoading] = useState(true)
  const supabase = createClient()

  useEffect(() => {
    async function fetchDocuments() {
      let query = supabase
        .from('documents')
        .select('*')
        .order('created_at', { ascending: false })

      if (teamId) {
        query = query.eq('team_id', teamId)
      }

      const { data, error } = await query

      if (error) {
        console.error('Error fetching documents:', error)
      } else {
        setDocuments(data || [])
      }

      setLoading(false)
    }

    fetchDocuments()

    // リアルタイムサブスクリプション
    const channel = supabase
      .channel('documents_changes')
      .on(
        'postgres_changes',
        {
          event: '*',
          schema: 'public',
          table: 'documents',
        },
        (payload) => {
          fetchDocuments()
        }
      )
      .subscribe()

    return () => {
      supabase.removeChannel(channel)
    }
  }, [teamId, supabase])

  if (loading) {
    return <div>Loading...</div>
  }

  return (
    <div className="space-y-4">
      {documents.map((doc) => (
        <div key={doc.id} className="p-4 border rounded">
          <h3 className="font-bold">{doc.title}</h3>
          <p className="text-sm text-gray-600">{doc.visibility}</p>
        </div>
      ))}
    </div>
  )
}

テストとデバッグ

RLSポリシーのテスト

-- テストユーザーとしてログイン
SELECT set_config('request.jwt.claims', '{"sub":"test-user-id"}', true);

-- ドキュメントの閲覧テスト
SELECT * FROM documents;

-- 権限のないドキュメントが見えないことを確認

ポリシーの確認

-- テーブルに設定されているポリシーを確認
SELECT
  schemaname,
  tablename,
  policyname,
  permissive,
  roles,
  cmd,
  qual,
  with_check
FROM pg_policies
WHERE tablename = 'documents';

パフォーマンス最適化

インデックスの追加

RLSポリシーで頻繁に参照されるカラムにインデックスを追加します。

-- organization_members
CREATE INDEX idx_organization_members_user_id ON organization_members(user_id);
CREATE INDEX idx_organization_members_org_id ON organization_members(organization_id);

-- team_members
CREATE INDEX idx_team_members_user_id ON team_members(user_id);
CREATE INDEX idx_team_members_team_id ON team_members(team_id);

-- documents
CREATE INDEX idx_documents_creator_id ON documents(creator_id);
CREATE INDEX idx_documents_organization_id ON documents(organization_id);
CREATE INDEX idx_documents_team_id ON documents(team_id);
CREATE INDEX idx_documents_visibility ON documents(visibility);

EXPLAIN ANALYZEでの確認

EXPLAIN ANALYZE
SELECT * FROM documents WHERE visibility = 'public';

セキュリティベストプラクティス

1. デフォルト拒否の原則

すべてのテーブルでRLSを有効化し、明示的に許可されたアクセスのみを許可します。

2. 最小権限の原則

ユーザーには必要最小限の権限のみを付与します。

3. 監査ログの記録

CREATE TABLE audit_logs (
  id UUID PRIMARY KEY DEFAULT gen_random_uuid(),
  user_id UUID REFERENCES users(id),
  action TEXT NOT NULL,
  table_name TEXT NOT NULL,
  record_id UUID,
  old_value JSONB,
  new_value JSONB,
  created_at TIMESTAMP WITH TIME ZONE DEFAULT NOW()
);

-- トリガーで自動記録
CREATE OR REPLACE FUNCTION audit_documents()
RETURNS TRIGGER AS $$
BEGIN
  INSERT INTO audit_logs (user_id, action, table_name, record_id, old_value, new_value)
  VALUES (
    auth.uid(),
    TG_OP,
    'documents',
    NEW.id,
    row_to_json(OLD),
    row_to_json(NEW)
  );
  RETURN NEW;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;

CREATE TRIGGER documents_audit
AFTER INSERT OR UPDATE OR DELETE ON documents
FOR EACH ROW EXECUTE FUNCTION audit_documents();

まとめ

Supabase RLSを活用することで、以下のメリットが得られます。

データベースレベルの堅牢なセキュリティ
アプリケーションコードの簡素化
一元管理された権限ロジック
リアルタイム機能との統合

多段階の権限管理システムを実装する際は、本記事で紹介したパターンを参考に、自社のニーズに合わせてカスタマイズしてください。

[SAMPLE] Supabase RLSで実装する多段階権限管理システム実践ガイド

Supabase RLSで実装する多段階権限管理システム実践ガイド

Row Level Security（RLS）とは

多段階権限管理の設計

データベーススキーマ設計

RLSポリシーの実装

1. 組織レベルの権限管理

2. チームレベルの権限管理

3. ドキュメントレベルの権限管理

データマスキングの実装

アプリケーションコードでの実装

Next.js App Routerでの利用例

クライアントコンポーネントでの利用

テストとデバッグ

RLSポリシーのテスト

ポリシーの確認

パフォーマンス最適化

インデックスの追加

EXPLAIN ANALYZEでの確認

セキュリティベストプラクティス

まとめ

コメント

mio_yamamoto

プロパティ

関連コンテンツ

[SAMPLE] Supabase RLSで実装する多段階権限管理システム実践ガイド

Supabase RLSで実装する多段階権限管理システム実践ガイド

Row Level Security（RLS）とは

多段階権限管理の設計

データベーススキーマ設計

RLSポリシーの実装

1. 組織レベルの権限管理

2. チームレベルの権限管理

3. ドキュメントレベルの権限管理

データマスキングの実装

アプリケーションコードでの実装

Next.js App Routerでの利用例

クライアントコンポーネントでの利用

テストとデバッグ

RLSポリシーのテスト

ポリシーの確認

パフォーマンス最適化

インデックスの追加

EXPLAIN ANALYZEでの確認

セキュリティベストプラクティス

まとめ

コメント

mio_yamamoto

プロパティ

関連コンテンツ