Supabase RLS cho người mới: đừng chỉ bảo vệ bằng frontend

Frontend validation giúp trải nghiệm tốt hơn, nhưng không đủ để bảo vệ dữ liệu. Người dùng vẫn có thể gọi trực tiếp endpoint hoặc client SDK.

RLS đưa điều kiện truy cập xuống PostgreSQL. Ví dụ bảng enrollments chỉ cho user đọc bản ghi có user_id bằng auth.uid().

Trong dự án portfolio, việc bật RLS và viết policy rõ ràng cho profiles, courses, submissions và certificates là tín hiệu kỹ thuật rất tốt.