fix(security): enforce defensive RLS for agent chat tables
Close Supabase advisor findings by enabling RLS and deny-by-default policies on new public agent-chat tables. Clarify backend RLS governance and incident runbook steps to prevent config-drift regressions.
This commit is contained in:
qzl
@@ -81,10 +81,10 @@ tmux kill-session -t social-dev
|
||||
|
||||
| 服务 | 日志文件 |
|
||||
|------|---------|
|
||||
| Web | `logs/web.log`, `logs/web.error.log` |
|
||||
| Worker Critical | `logs/worker-critical.log`, `logs/worker-critical.error.log` |
|
||||
| Worker Default | `logs/worker-default.log`, `logs/worker-default.error.log` |
|
||||
| Worker Bulk | `logs/worker-bulk.log`, `logs/worker-bulk.error.log` |
|
||||
| Web | `logs/web.log`, `logs/errors/web.error.log` |
|
||||
| Worker Critical | `logs/worker-critical.log`, `logs/errors/worker-critical.error.log` |
|
||||
| Worker Default | `logs/worker-default.log`, `logs/errors/worker-default.error.log` |
|
||||
| Worker Bulk | `logs/worker-bulk.log`, `logs/errors/worker-bulk.error.log` |
|
||||
|
||||
---
|
||||
|
||||
@@ -177,9 +177,35 @@ curl -sS -X POST "${WEB_BASE_URL}/api/v1/agent-chat/run" \
|
||||
### 4) Agent Chat 启动后异常
|
||||
|
||||
- 症状:`/api/v1/agent-chat/run` 返回 5xx 或事件不完整。
|
||||
- 定位:先跑 L3 测试,再看 `logs/web.error.log`。
|
||||
- 定位:先跑 L3 测试,再看 `logs/errors/web.error.log`。
|
||||
- 修复:先恢复到可用版本,再排查迁移、配置与依赖差异。
|
||||
|
||||
### 5) Auth 邮件模板未生效 / 注册返回超时但邮件已发送
|
||||
|
||||
- 症状:
|
||||
- 收到默认英文模板(非 `infra/mail-templates`)。
|
||||
- `signup/start` 偶发 500 或超时,但邮箱仍收到验证码邮件。
|
||||
- 根因:容器配置漂移(旧容器未按最新 compose/.env 重建),导致:
|
||||
- `supabase-auth` 缺少 `GOTRUE_MAILER_TEMPLATES_*` 环境变量。
|
||||
- `supabase-mail-templates` 仍挂载旧路径。
|
||||
- 定位:
|
||||
|
||||
```bash
|
||||
docker inspect supabase-auth --format '{{ range .Config.Env }}{{ println . }}{{ end }}' | grep GOTRUE_MAILER_TEMPLATES
|
||||
docker inspect supabase-mail-templates --format '{{ range .Mounts }}{{ .Source }} -> {{ .Destination }}{{ println }}{{ end }}'
|
||||
```
|
||||
|
||||
- 修复:强制重建 auth 和 mail-templates(不改其他服务):
|
||||
|
||||
```bash
|
||||
docker compose --env-file .env -f infra/docker/docker-compose.yml up -d --force-recreate --no-deps mail-templates auth
|
||||
```
|
||||
|
||||
- 复核标准:
|
||||
- `docker inspect supabase-auth` 能看到 `GOTRUE_MAILER_TEMPLATES_CONFIRMATION/RECOVERY`。
|
||||
- `supabase-mail-templates` 挂载源为 `infra/mail-templates`。
|
||||
- `POST /api/v1/auth/signup/start` 返回 `202` 且耗时恢复正常。
|
||||
|
||||
---
|
||||
|
||||
## Rollback Procedure
|
||||
@@ -217,3 +243,4 @@ curl -sS -X POST "${WEB_BASE_URL}/api/v1/agent-chat/run" \
|
||||
| 2026-02-25 | 新增 Agent Chat 验证章节:bootstrap gate、分层测试命令与 run 接口 smoke 示例 |
|
||||
| 2026-02-25 | 简化启动方式:dev-app-up -> app-up,分离 bootstrap 与服务启动 |
|
||||
| 2026-02-25 | 重构为运维分层手册:Bootstrap Gate、分层验证、故障与回滚流程 |
|
||||
| 2026-02-25 | 新增配置漂移故障条目:修复 Auth 邮件模板失效与 signup 超时场景 |
|
||||
|
||||
Reference in New Issue
Block a user