AllgemeinJavascriptPHP-Framework

Supabase für Web-Projekte: Die Open Source Backend-Plattform, die PostgreSQL-Power mit Developer Experience verbindet

Von Roland Golla
Von Roland Golla 0 Kommentar
Surreales Dalí-Bild: PostgreSQL-Elefant über schmelzender Firebase-Flamme

„Wir brauchen einen schnellen Backend-Start, aber Firebase fühlt sich wie Vendor Lock-in an“ – kennt ihr das? In unserer über 15-jährigen Consulting-Praxis für Softwarequalität und Open Source hören wir diese Aussage regelmäßig. Die gute Nachricht: Mit Supabase gibt es eine echte Alternative, die auf bewährten Technologien aufbaut und euch trotzdem den schnellen Einstieg ermöglicht.

Was ist Supabase und warum sollte es euch interessieren?

Supabase positioniert sich als Open-Source-Alternative zu Firebase – aber das greift zu kurz. Im Kern bekommt ihr eine vollständige Backend-as-a-Service-Plattform, die auf PostgreSQL aufbaut. Das bedeutet: Relationale Datenbank-Power mit SQL-Support, kombiniert mit modernen Features wie Realtime-Subscriptions, Authentifizierung, File Storage und Edge Functions.

Der entscheidende Unterschied zu Firebase liegt im Fundament. Während Firebase auf NoSQL-Dokumentdatenbanken setzt, arbeitet Supabase mit PostgreSQL – einer der bewährtesten und skalierbarsten relationalen Datenbanken überhaupt. Für Teams, die mit SQL vertraut sind, fühlt sich das sofort vertraut an.

In unseren Projekten bei Never Code Alone haben wir festgestellt, dass besonders Symfony- und PHP-Teams den Umstieg auf Supabase schätzen. Die SQL-basierte Arbeitsweise passt perfekt zu bestehenden Workflows, und die Auto-Generated REST API ermöglicht schnelle Prototypen ohne zusätzlichen Backend-Code.

Supabase vs. Firebase: Welche Plattform passt zu eurem Projekt?

Diese Frage beschäftigt viele Entwickler-Teams und Entscheider gleichermaßen. Die Antwort hängt stark von euren Anforderungen ab.

PostgreSQL vs. NoSQL ist der fundamentale Unterschied. Wenn eure Daten klare Beziehungen haben – denkt an E-Commerce mit Produkten, Bestellungen und Kunden – dann spielt Supabase seine Stärken aus. Joins, Foreign Keys und komplexe Queries sind Standardfunktionen. Bei Firebase müsstet ihr solche Beziehungen in eurem Anwendungscode abbilden oder Daten denormalisieren.

Vendor Lock-in ist für viele Unternehmen ein kritisches Thema. Supabase ist Open Source. Ihr könnt die gesamte Plattform selbst hosten, eure Daten jederzeit exportieren und seid nicht von einem einzelnen Anbieter abhängig. Firebase ist proprietär und tief in das Google-Ökosystem integriert – das kann Vorteil oder Nachteil sein, je nach eurer Strategie.

Developer Experience ist bei beiden Plattformen hervorragend. Supabase punktet mit einer sehr aufgeräumten UI, exzellenter Dokumentation und dem Gefühl, mit vertrauten Technologien zu arbeiten. Firebase hat durch seine längere Marktpräsenz ein größeres Ökosystem an Tutorials und Community-Support.

Unsere Empfehlung aus der Praxis: Für neue Projekte mit strukturierten Daten und Teams, die SQL beherrschen, ist Supabase oft die bessere Wahl. Für schnelle Prototypen mit unstrukturierten Daten oder wenn ihr bereits im Google-Ökosystem arbeitet, kann Firebase sinnvoll sein.

Der Einstieg: Wie startet ihr mit Supabase?

Der Start mit Supabase ist erfreulich unkompliziert. Innerhalb weniger Minuten habt ihr ein funktionierendes Backend.

Schritt 1: Projekt anlegen
Registriert euch auf supabase.com mit eurem GitHub-Account. Im Dashboard erstellt ihr ein neues Projekt, wählt einen Namen und eine Region nahe eurer Zielgruppe. Wichtig: Das Datenbank-Passwort solltet ihr sicher aufbewahren.

Schritt 2: Datenbank-Tabellen erstellen
Der Table Editor funktioniert ähnlich wie eine Tabellenkalkulation. Ihr definiert Spalten, Datentypen und Beziehungen. Alternativ könnt ihr direkt SQL im integrierten Editor ausführen – für erfahrene Entwickler oft der schnellere Weg.

Schritt 3: Client-Library einbinden
Supabase bietet Client-Libraries für alle gängigen Frameworks: React, Next.js, Vue, Angular, Svelte, Flutter, Swift und mehr. Die Integration sieht typischerweise so aus:

import { createClient } from '@supabase/supabase-js'

const supabase = createClient(
  'https://euer-projekt.supabase.co',
  'euer-publishable-key'
)

// Daten abrufen
const { data, error } = await supabase
  .from('products')
  .select('*')

Das war’s im Grunde. Ab diesem Punkt könnt ihr CRUD-Operationen direkt aus eurem Frontend ausführen – natürlich abgesichert durch Row Level Security.

Was kostet Supabase für Startups und Unternehmen?

Die Preisgestaltung ist ein wichtiger Faktor für Entscheider. Supabase arbeitet mit einem hybriden Modell: Basis-Gebühr plus nutzungsabhängige Kosten.

Free Tier (0 €/Monat): Perfekt für Experimente und kleine Projekte. Ihr bekommt 500 MB Datenbank-Storage, 1 GB File Storage, 50.000 monatlich aktive Nutzer bei der Authentifizierung und grundlegende Features. Achtung: Inaktive Free-Projekte werden nach einer Woche pausiert.

Pro Plan (25 €/Monat): Der Standard für produktive Anwendungen. 8 GB Datenbank-Storage, 100 GB File Storage, 100.000 MAU und vor allem: keine Pausierung bei Inaktivität. Wichtig ist hier der Spend Cap – standardmäßig aktiviert, um Kostenüberraschungen zu vermeiden.

Team Plan (599 €/Monat): Für größere Organisationen mit Compliance-Anforderungen. SSO, SOC 2 Reports, längere Backup-Retention und 28 Tage Log-Storage.

Enterprise: Individuelle Verträge für Großkunden mit speziellen Anforderungen.

Die nutzungsabhängigen Kosten fallen an, wenn ihr die inkludierten Kontingente überschreitet. Beispiel: Jeder zusätzliche MAU über 100.000 kostet etwa 0,00325 €. Bei 150.000 MAU wären das also ca. 162 € extra pro Monat.

Aus unserer Beratungspraxis wissen wir: Die Gesamtkosten hängen stark von eurem Use Case ab. Eine durchdachte Datenbankarchitektur und optimierte Queries können erheblich Kosten sparen. Hier lohnt sich oft professionelle Begleitung.

Self-Hosting: Kann man Supabase auf eigenen Servern betreiben?

Ja, und das ist einer der größten Vorteile von Supabase. Die gesamte Plattform ist Open Source und kann auf eigener Infrastruktur betrieben werden.

Für Self-Hosting gibt es mehrere Ansätze:

Docker Compose ist der einfachste Einstieg. Supabase stellt offizielle Docker-Konfigurationen bereit:

git clone --depth 1 https://github.com/supabase/supabase
cd supabase/docker
cp .env.example .env
docker compose pull
docker compose up -d

Für eine minimale Installation könnt ihr nur die essentiellen Services starten: PostgreSQL, PostgREST, GoTrue (Auth) und Kong (API Gateway). Damit läuft Supabase bereits auf einem kleinen VPS mit 2 GB RAM – Kosten ab etwa 3-5 € pro Monat bei Anbietern wie Hetzner.

Wichtig beim Self-Hosting: Ihr seid für Backups, Updates, Sicherheit und Skalierung selbst verantwortlich. Für produktive Anwendungen empfehlen wir entweder fundiertes DevOps-Know-how im Team oder die Nutzung der managed Cloud-Version.

Der Mittelweg: Startet mit der Cloud-Version, optimiert eure Anwendung, und migriert später zu Self-Hosting, wenn das wirtschaftlich sinnvoll ist.

Row Level Security: Wie funktioniert die Absicherung auf Datenbankebene?

Row Level Security (RLS) ist das Herzstück der Supabase-Sicherheitsarchitektur. Anders als bei klassischen Backends, wo Zugriffslogik im Application Code liegt, definiert ihr Berechtigungen direkt in der Datenbank.

Das Konzept: Für jede Tabelle erstellt ihr Policies, die definieren, welche Zeilen ein Benutzer lesen, erstellen, ändern oder löschen darf. Diese Policies werden in SQL geschrieben und bei jedem Datenbankzugriff automatisch angewendet.

Ein praktisches Beispiel für eine Tabelle mit Benutzer-Profilen:

-- RLS aktivieren
ALTER TABLE profiles ENABLE ROW LEVEL SECURITY;

-- Nutzer können nur ihr eigenes Profil sehen
CREATE POLICY "Users can view own profile"
ON profiles FOR SELECT
USING (auth.uid() = user_id);

-- Nutzer können nur ihr eigenes Profil bearbeiten
CREATE POLICY "Users can update own profile"
ON profiles FOR UPDATE
USING (auth.uid() = user_id);

Der Vorteil: Eure Sicherheitslogik ist zentral definiert und kann nicht durch fehlerhaften Frontend-Code umgangen werden. Auch wenn ihr den Supabase-Client direkt im Browser verwendet, sind die Daten geschützt.

In unseren Code Reviews sehen wir häufig, dass RLS-Policies unterschätzt werden. Eine saubere Policy-Architektur von Anfang an spart später erheblichen Refactoring-Aufwand. Nehmt euch die Zeit, eure Zugriffsanforderungen gründlich zu dokumentieren, bevor ihr die Policies schreibt.

Supabase Auth: Welche Authentifizierungsmöglichkeiten gibt es?

Supabase Auth (basierend auf GoTrue) bietet ein vollständiges Authentifizierungssystem out-of-the-box.

Unterstützte Methoden:

  • E-Mail/Passwort mit Bestätigungs-E-Mails
  • Magic Links (passwortlose Anmeldung per E-Mail-Link)
  • Social Logins (Google, GitHub, Apple, Facebook, Twitter und mehr)
  • Phone Auth mit SMS-Verifizierung
  • SSO/SAML für Enterprise-Kunden

Die Integration ist denkbar einfach:

// Magic Link Login
const { data, error } = await supabase.auth.signInWithOtp({
  email: 'user@example.com'
})

// Social Login mit Google
const { data, error } = await supabase.auth.signInWithOAuth({
  provider: 'google'
})

// Session prüfen
const { data: { session } } = await supabase.auth.getSession()

Wichtiger Sicherheitshinweis: In Server-Side-Code solltet ihr immer supabase.auth.getUser() statt getSession() verwenden. Nur getUser() validiert den Token gegen den Supabase Auth Server und schützt vor manipulierten Sessions.

Multi-Factor Authentication (MFA) ist ebenfalls verfügbar und für sensible Anwendungen dringend zu empfehlen. Im Team- und Enterprise-Plan gibt es erweiterte Features wie SAML-SSO für die Integration mit Enterprise Identity Providern.

Realtime: Wie funktionieren Live-Updates in Supabase?

Supabase Realtime ermöglicht es, Datenbankänderungen in Echtzeit an verbundene Clients zu pushen. Das Feature basiert auf PostgreSQL’s Replication-Mechanismen und eignet sich hervorragend für Chat-Anwendungen, Live-Dashboards oder kollaborative Tools.

Die Nutzung ist straightforward:

const channel = supabase
  .channel('public:messages')
  .on(
    'postgres_changes',
    { event: '*', schema: 'public', table: 'messages' },
    (payload) => {
      console.log('Änderung erkannt:', payload)
      // UI aktualisieren
    }
  )
  .subscribe()

Ihr könnt auf verschiedene Events filtern:

  • INSERT für neue Einträge
  • UPDATE für Änderungen
  • DELETE für Löschungen
  • * für alle Änderungen

Performance-Tipp: Filtert so spezifisch wie möglich. Statt alle Änderungen einer großen Tabelle zu abonnieren, nutzt Filter:

.on(
  'postgres_changes',
  { 
    event: 'INSERT', 
    schema: 'public', 
    table: 'messages',
    filter: 'room_id=eq.123'
  },
  handleNewMessage
)

Im Vergleich zu Firebase Realtime ist Supabase’s Implementierung spezifischer auf Datenbankänderungen fokussiert. Firebase synchronisiert beliebige Datenänderungen, was für bestimmte Use Cases wie Cursor-Positionen oder Typing-Indicators flexibler sein kann. Für die meisten datengetriebenen Anwendungen reicht Supabase Realtime jedoch vollkommen aus.

Edge Functions: Wann lohnt sich serverlose Backend-Logik?

Edge Functions sind TypeScript-Funktionen, die auf Deno an Edge-Locations ausgeführt werden. Sie eignen sich für Aufgaben, die nicht direkt in der Datenbank oder im Client erledigt werden können.

Typische Anwendungsfälle:

  • Webhook-Verarbeitung von externen Services
  • API-Integration mit Drittanbietern
  • Datenverarbeitung vor dem Speichern
  • Scheduled Tasks und Automatisierungen
  • Custom Authentication Flows

Ein einfaches Beispiel für einen Webhook-Handler:

import { serve } from "https://deno.land/std@0.168.0/http/server.ts"
import { createClient } from '@supabase/supabase-js'

serve(async (req) => {
  const { event, data } = await req.json()

  const supabase = createClient(
    Deno.env.get('SUPABASE_URL')!,
    Deno.env.get('SUPABASE_SERVICE_ROLE_KEY')!
  )

  // Webhook-Daten verarbeiten
  const { error } = await supabase
    .from('webhook_events')
    .insert({ event_type: event, payload: data })

  return new Response(JSON.stringify({ success: !error }), {
    headers: { 'Content-Type': 'application/json' }
  })
})

Edge Functions haben direkten Zugriff auf eure Supabase-Datenbank, was sie ideal für Backend-Logik macht, die eng mit euren Daten verknüpft ist.

Kostenüberlegung: Die ersten 500.000 Invocations pro Monat sind im Pro-Plan enthalten. Danach fallen nutzungsabhängige Kosten an. Für hochfrequente Tasks solltet ihr die Kosten im Blick behalten.

Supabase Storage: Wie verwaltet ihr Dateien effizient?

Supabase Storage bietet eine S3-kompatible Lösung für File Uploads und -Management. Bilder, Videos, Dokumente – alles lässt sich strukturiert ablegen und verwalten.

Buckets sind Container für eure Dateien. Ihr könnt sie öffentlich oder privat konfigurieren:

// Datei hochladen
const { data, error } = await supabase.storage
  .from('avatars')
  .upload('user_123/profile.jpg', file, {
    cacheControl: '3600',
    upsert: true
  })

// Öffentliche URL generieren
const { data: publicUrl } = supabase.storage
  .from('avatars')
  .getPublicUrl('user_123/profile.jpg')

// Signierte URL für private Dateien (zeitlich begrenzt)
const { data: signedUrl } = await supabase.storage
  .from('private-docs')
  .createSignedUrl('contract.pdf', 3600) // 1 Stunde gültig

Sicherheit: Für private Buckets gelten ebenfalls RLS-Policies. Ihr definiert, welche Benutzer auf welche Dateien zugreifen dürfen – analog zur Datenbank-Absicherung.

Praktischer Tipp aus unseren Projekten: Strukturiert eure Buckets von Anfang an sinnvoll. Eine bewährte Struktur ist {bucket}/{user_id}/{datei}. Das vereinfacht die Policy-Definition erheblich.

Der Free-Plan enthält 1 GB Storage, der Pro-Plan 100 GB. Zusätzlicher Speicher kostet etwa 0,021 €/GB/Monat – deutlich günstiger als viele Alternativen.

Supabase in bestehende Projekte integrieren: Best Practices

Die Integration von Supabase in bestehende Anwendungen erfordert strategisches Vorgehen. Hier unsere Empfehlungen aus der Praxis:

Schrittweise Migration: Startet nicht mit einem Big-Bang-Ansatz. Migriert zunächst einen abgegrenzten Bereich – etwa das User-Management oder ein neues Feature. So sammelt ihr Erfahrung ohne Risiko für das Gesamtsystem.

Datenbank-Schema planen: Auch wenn der Table Editor verlockend einfach ist – plant euer Schema sorgfältig. Nutzt Migrationen von Anfang an:

supabase migration new create_users_table

Das ermöglicht reproduzierbare Deployments und vereinfacht die Zusammenarbeit im Team.

Environment-Trennung: Nutzt separate Supabase-Projekte für Development, Staging und Production. Die Supabase CLI unterstützt lokale Entwicklung hervorragend:

supabase start  # Lokale Supabase-Instanz
supabase db push  # Schema auf Remote-Projekt synchronisieren

Testing: Schreibt Tests für eure RLS-Policies. Ein häufiger Fehler ist, Policies nur für den Happy Path zu testen. Prüft explizit, dass unberechtigte Zugriffe auch wirklich blockiert werden.

Euer nächster Schritt mit Supabase

Supabase hat sich in den letzten Jahren von einem vielversprechenden Open-Source-Projekt zu einer produktionsreifen Backend-Plattform entwickelt. Mit über 450.000 registrierten Entwicklern und über 58.000 GitHub-Stars hat die Community eine kritische Masse erreicht.

Für Entwickler-Teams, die SQL beherrschen und Wert auf Datenkontrolle legen, ist Supabase eine ernsthafte Alternative zu proprietären Lösungen. Die Kombination aus PostgreSQL-Power, moderner Developer Experience und fairem Pricing-Modell überzeugt in vielen Projekten.

Ihr seid unsicher, ob Supabase für euer Projekt passt? Wir bei Never Code Alone beraten euch gerne. Mit über 15 Jahren Erfahrung in Softwarequalität, Open Source und Remote Consulting können wir eure spezifische Situation einschätzen und eine fundierte Empfehlung geben.

Kontakt: Schreibt uns einfach eine E-Mail an roland@nevercodealone.de – wir besprechen eure Anforderungen und finden gemeinsam die beste Lösung für euer Team.

Never Code Alone – Weil Backend-Entscheidungen Projekt-Entscheidungen sind.

0 Kommentar
FacebookTwitterEmail

Initiator von Never Code Alone, PHP-Trainer und Consultant für Softwarequalität rolandgolla.de - Das PHP-Training gibt es hier

Tutorials und Top Posts

API Platform und Meilisearch: Blitzschnelle Suche für moderne...

Meilisearch in Symfony: Die performante Suchlösung für moderne...

Symfony ObjectMapper: DTO-Entity-Mapping ohne Boilerplate-Code

Astro.js trifft n8n: So lagert ihr Backend-Logik aus...

Astro Starlight: Dokumentation erstellen wie die Profis

Anton App: Spielen statt Lernen – Was Eltern...

Xdebug Profiler: Performance-Bottlenecks in PHP-Anwendungen finden und beheben

Edge Side APIs: Schnellere und zuverlässigere Web-APIs mit...

Ghostty Terminal für macOS: Der neue Standard für...

Sulu Headless Bundle: API-First Content Management mit Symfony

Gib uns Feedback

Speicher meinen Zugang für den nächsten Kommentar.

Diese Seite benutzt Cookies. Ein Akzeptieren hilft uns die Seite zu verbessern. Ok Mehr dazu