开发与工程 supabasepostgresrow-level-securityauthenticationdatabase-migrationsmcp-serversupabase-cli

Supabase 开发助手

为 AI 代理提供涵盖 Supabase 开发、安全与数据库变更的实用指导。

FollowSkills 评估 · FSRS-1.0
谨慎使用
60/ 100
价值适配16 / 20

覆盖 Supabase 数据库、认证、RLS、CLI、MCP、迁移及多种客户端集成,目标用户和常见任务明确;安全清单、版本核验和错误恢复具有实际价值。扣分原因是触发条件“任何 Supabase 任务”过宽,替代方案和明确的不适用边界有限,部分价值依赖外部文档。

可靠性7 / 20

内容包含版本检查、CLI --help、失败后停止重考虑、MCP/psql 回退和迁移验证等可复现流程。扣分原因是静态材料未证明技能指令本身被执行验证,缺少针对关键 Supabase 路径的自动化测试,且大量步骤依赖外部服务、CLI 版本和项目配置。

安全性17 / 25

提供较完整的 RLS、JWT、服务密钥、视图、SECURITY DEFINER、存储权限和依赖供应链安全警告,并强调最小权限的一些实践。扣分原因是要求执行 SQL、迁移和远程 MCP 操作时缺少明确的用户确认、完整回滚方案和数据流披露;“始终运行测试查询”也未规定查询的安全范围。

证据6 / 15

SKILL.md 含具体 SQL 示例、版本门槛、官方文档引用和故障处理步骤;仓库上下文还显示有 CI sanity 测试。扣分原因是没有独立评测、结果记录或覆盖技能行为的测试证据,CI 主要验证安装和文件结构,无法证明建议正确。

易用性7 / 10

触发器、适用产品范围、CLI/MCP 使用方式、回退路径和迁移工作流较清楚,README 也提供安装方式。扣分原因是安装与环境前置条件主要在仓库 README,技能自身未完整说明输入、权限成本、兼容矩阵、失败后的退出标准和如何撤销已执行变更。

维护性7 / 10

存在 author、MIT 许可、技能版本、CHANGELOG、版本化提交记录以及 CI 和发布工作流,显示有持续维护机制。扣分原因是技能版本 0.1.2 与 CHANGELOG 0.1.5、package.json 0.1.6 不一致;发布责任和更新路径虽可推断但未完整说明,且发布者未被 FollowSkills 企业注册表验证。

证据充分度: 评估于 2026年7月18日 审查版本 1ad9aaeb49ca
使用前请注意
  • 不要仅凭该技能的 Supabase 品牌或仓库身份采信建议;在生产环境执行 SQL、迁移、权限授予或 MCP 操作前,应逐项确认目标、权限范围、备份和回滚方案。
  • 技能版本、CHANGELOG 和 package.json 版本不一致,必须核对修订版本对应的实际发布内容及当前 Supabase 文档。
  • 技能要求访问外部 changelog、文档和 MCP 服务;应确认网络、凭据和敏感项不会被发送到不必要的外部系统。
查看完整评分方法 →

它能做什么 & 适用场景

这是 Supabase 官方维护的 Agent Skill,面向使用 AI 代理开发 Supabase 应用的开发者。它覆盖 Database、Auth、Edge Functions、Realtime、Storage、Vectors、Cron、Queues、客户端库、SSR、CLI、MCP 和 Postgres 扩展。技能强调先核对变更日志与文档,再实施并验证结果。它还提供针对 RLS、JWT、视图、特权函数、Storage 和密钥管理的安全检查。

指导代理获取 Supabase 变更日志和相关文档,检查 breaking-change 条目;通过 supabase --help、版本检查和 CLI 帮助发现可用命令;使用测试查询验证修复;检查 MCP 服务连通性、.mcp.json 配置和 OAuth 认证;在适用时调用 search_docsexecute_sqlget_advisors 等 MCP 工具;指导代理选择声明式 schema 或命令式 migration 工作流,并生成、审查和验证迁移。

  1. 正在使用 Next.js、React、SvelteKit、Astro 或 Remix 集成 Supabase 客户端和 SSR 的开发者。
  2. 排查登录、登出、会话、JWT、Cookie、`getSession`、`getUser`、`getClaims` 或 RLS 问题的团队。
  3. 需要设计表结构、编写迁移、配置声明式 schema 或使用 Supabase CLI/MCP 的工程师。
  4. 审计涉及 Auth、RLS、视图、Storage、用户数据或 Postgres 特权函数的 Supabase 实现的开发者。
  5. 需要优化 Postgres 查询、索引、连接池或 RLS 的团队可结合仓库中的 Postgres 最佳实践技能使用。

优缺点一览

优点
  • 覆盖 Supabase 产品、客户端集成、CLI、MCP、schema 变更和安全审计。
  • 包含具体的 RLS、JWT、视图、SECURITY DEFINER、Storage 和密钥安全检查。
  • 提供声明式 schema 与命令式 migration 的不同工作流。
  • 采用 MIT 许可证,并兼容 README 所列的多种 AI 代理。
局限
  • 依赖当前 Supabase 文档、网络访问以及可能的 CLI 或 MCP 环境。
  • 部分 CLI 和 MCP 功能有明确版本或认证前提,旧版本需要使用替代路径。
  • 仓库元数据中未提供固定 skill path,也未在给定材料中提供测试套件或测试结果。

如何安装

使用仓库 README 提供的命令安装指定技能:npx skills add supabase/agent-skills --skill supabase。也可安装全部技能:npx skills add supabase/agent-skills。Claude Code 用户还可以将仓库添加为 marketplace,并运行 claude plugin install supabase@supabase-agent-skills。具体安装目录由安装工具管理,提供的仓库元数据未说明固定 skill path。

如何使用

安装后直接提出具体任务,例如:Help me set up Supabase Auth with Next.jsReview my Supabase RLS policiesCreate a migration for this schema change。代理应先查阅当前变更日志和文档,并在完成修改后运行测试查询或相应验证。

常见问题

这个技能是否免费?
仓库许可证为 MIT;给定材料没有说明 Supabase 服务或其他相关服务的具体定价。
使用 MCP 需要什么权限?
需要访问 `https://mcp.supabase.com/mcp`,并在服务可达且配置正确后完成 OAuth 2.1 认证。
它能否自动保证 RLS 安全?
不能。它提供检查清单和实施指导,开发者仍需根据实际访问模型创建策略并验证结果。
CLI 命令失败时怎么办?
技能要求先使用 `--help` 发现当前命令;若同一方法失败 2 到 3 次,应检查文档、错误和日志并改用其他方法。

相关 Skills