Supabase社区Postgres.new项目中的HTTPS安全上下文问题解析

在Supabase社区开发的Postgres.new项目中，开发者可能会遇到一个典型的技术问题：当使用设备IP地址而非localhost访问服务时，浏览器控制台会抛出navigator.lock相关的错误。这种现象背后涉及现代Web平台的安全机制，值得开发者深入理解。

问题现象

Postgres.new项目在本地开发环境下使用localhost访问时运行正常，但当开发者尝试通过设备IP地址访问时，浏览器控制台会出现navigator.lock相关的错误提示，导致功能无法正常使用。

技术原理

这个问题的根源在于现代浏览器实现的Web Locks API安全限制。Web Locks API（即navigator.locks）是浏览器提供的一种资源锁定机制，PGlite等数据库技术会利用它来管理并发访问。根据浏览器安全策略，这类API只能在"安全上下文"中运行。

浏览器对"安全上下文"的定义包括：

• 通过HTTPS协议访问的页面
• 通过localhost或127.0.0.1访问的本地开发环境（特殊例外）
• 使用file://协议打开的本地文件

解决方案

要解决这个问题，开发者需要确保访问环境符合安全上下文的要求：

1. 本地开发环境：继续使用localhost访问是最简单的解决方案，因为这是浏览器特别允许的安全上下文。

2. 跨设备测试：如果需要通过IP地址让其他设备访问，必须：

   • 配置本地开发服务器支持HTTPS
   • 生成并安装有效的SSL证书
   • 通过https://your-ip-address的形式访问

3. 生产环境：自然应该部署在支持HTTPS的服务器上，这不仅是API的要求，也是现代Web应用的最佳实践。

深入理解

这个限制不是Postgres.new项目的缺陷，而是浏览器厂商为保护用户安全而采取的措施。类似的安全限制还包括：

• 地理位置API
• 设备方向API
• 剪贴板API等

这些API都可能要求页面运行在安全上下文中，以防止恶意网站滥用敏感功能。

实施建议

对于开发者来说，最佳实践是：

1. 开发阶段使用localhost
2. 测试阶段配置HTTPS开发环境
3. 部署阶段确保生产环境HTTPS配置正确

理解这些安全机制有助于开发者构建更安全、更可靠的Web应用，也能避免在开发过程中遇到类似问题时花费不必要的时间排查。