Spartan 项目中实现 tRPC 与 Supabase 用户认证集成

在基于 Spartan 技术栈开发应用时，一个常见需求是如何在 tRPC 服务中获取当前登录的 Supabase 用户信息。本文将详细介绍如何实现这一功能，并构建完善的认证中间件。

核心实现原理

整个方案的核心在于利用 tRPC 的上下文机制和中间件功能。Supabase 提供的 JWT 认证令牌通过 HTTP 头传递，tRPC 服务端验证该令牌并获取用户信息，最后通过中间件实现路由保护。

具体实现步骤

1. 客户端令牌管理

首先需要在客户端管理用户的认证令牌。当用户通过 Supabase 登录后，可以从返回的会话中获取访问令牌：

// 获取当前用户的JWT令牌
async function getToken() {
  const session = await supabase.auth.getSession()
  return session.data.session?.access_token || null
}

2. 创建 tRPC 上下文

在服务端创建 tRPC 上下文时，从请求头中提取令牌并验证：

export const createContext = async ({ req }: { req: IncomingMessage }) => {
  // 从Authorization头提取Bearer令牌
  const token = req.headers.authorization?.split(" ")[1]
  
  if (!token) return { user: null }
  
  // 使用Supabase验证令牌并获取用户信息
  const { data: { user }, error } = await supabaseClient.auth.getUser(token)
  
  if (error) {
    console.error("令牌验证失败:", error.message)
    return { user: null }
  }
  
  return { user }
}

3. 实现认证中间件

基于上述上下文，可以创建保护性中间件：

export const privateProcedure = t.procedure.use(({ ctx, next }) => {
  if (!ctx.user) {
    throw new Error("未授权访问: 用户未认证")
  }
  return next({
    ctx: {
      user: ctx.user  // 确保user在后续处理中可用
    }
  })
})

4. 客户端集成

在客户端调用时附加认证令牌：

const trpcClient = createTRPCProxyClient<AppRouter>({
  links: [
    httpBatchLink({
      url: "/api/trpc",
      async headers() {
        const token = await getToken()
        return token ? { authorization: `Bearer ${token}` } : {}
      }
    })
  ]
})

进阶应用

角色基础访问控制(RBAC)

可以在中间件中扩展角色检查：

export const adminProcedure = privateProcedure.use(({ ctx, next }) => {
  if (ctx.user.role !== "admin") {
    throw new Error("权限不足: 需要管理员权限")
  }
  return next()
})

性能优化

对于高频访问的API，可以考虑缓存用户信息：

const userCache = new Map<string, User>()

export const createContext = async ({ req }) => {
  const token = req.headers.authorization?.split(" ")[1]
  if (!token) return { user: null }
  
  if (userCache.has(token)) {
    return { user: userCache.get(token) }
  }
  
  const { data: { user } } = await supabaseClient.auth.getUser(token)
  if (user) userCache.set(token, user)
  
  return { user }
}

安全注意事项

1. 始终使用HTTPS传输令牌
2. 设置合理的令牌过期时间
3. 实现令牌刷新机制
4. 记录失败的认证尝试
5. 考虑实现速率限制防止暴力攻击

总结

通过上述方法，我们成功在 Spartan 项目中实现了 tRPC 与 Supabase 的用户认证集成。这种方案不仅保持了代码的整洁性，还提供了灵活的权限控制能力。开发者可以根据实际需求，在此基础上扩展更复杂的业务逻辑和权限系统。