En el módulo anterior vimos que Supabase guarda tus datos en tablas — como un Excel gigante y seguro en la nube. Pero surge una pregunta obvia: ¿y si alguien que no debería ver esos datos entra?

Imagina un álbum digital privado para una celebración familiar. Fotos, mensajes, recuerdos. Sin ningún control de acceso, cualquiera con el enlace lo vería todo. Necesitas alguien que controle la puerta. Ese alguien se llama Supabase Auth.

¿Qué es Supabase Auth?

Auth viene de authentication, autenticación. Es el proceso de verificar quién eres.

Cuando entras en tu banco online y pones tu usuario y contraseña, eso es autenticación. Cuando Netflix te pide que inicies sesión, eso es autenticación. Supabase incluye ese sistema para que no tengas que construirlo desde cero.

Piénsalo así: Supabase Auth es el portero de tu aplicación. Comprueba quién intenta entrar y crea una sesión segura. Después, las reglas de permisos deciden qué puede ver o hacer esa persona.

Cómo funciona en 3 pasos

1. El usuario se registra

Introduce su email y una contraseña. Supabase le puede mandar un correo de confirmación, como cuando te registras en cualquier web. Hace clic en el enlace y ya puede acceder.

2. Supabase le da una “tarjeta de miembro”

Una vez confirmado, Supabase genera un token: una tarjeta de miembro digital invisible que identifica a esa persona de forma única. Tú no ves esto. Ocurre por debajo, automáticamente.

3. El portero comprueba la tarjeta

Cada vez que esa persona abre la app, el portero comprueba la tarjeta y la deja pasar. Si la tarjeta es falsa, ha caducado, la sesión ya no es válida o le has quitado el acceso, la puerta no se abre.

Las opciones de Supabase Auth

Supabase Auth incluye varias formas de acceso. Muchas usan el email del usuario, pero también existen otros métodos según el tipo de aplicación. Tú activas solo las que necesitas desde el panel.

  • Email + contraseña — el método clásico. El usuario se registra con su email y elige una contraseña.
  • Magic Link — sin contraseña. Supabase manda un enlace al email. El usuario hace clic y entra directamente.
  • Invitación — tú invitas a personas concretas por email. Solo entra quien tú hayas invitado.
  • Google / Apple — el usuario entra con su cuenta de Google o Apple. Sin crear otra contraseña más.
  • Teléfono / OTP — en algunos casos, el usuario puede entrar con un código temporal enviado a su teléfono o email.

¿Y si no quieres pedir el email?

Para una celebración familiar, pedir el email a cada invitado no siempre tiene sentido. En ese caso, la solución más sencilla puede ser un código compartido: un número o palabra que solo conocen los invitados.

Quien sabe el código, entra. Sin registros, sin contraseñas, sin pedir datos personales a cada persona.

Eso no es Supabase Auth. Es una solución más simple que puedes construir aparte. Puede tener sentido para casos pequeños y privados, como un evento familiar.

Supabase Auth tiene más sentido cuando necesitas saber quién es cada persona de forma individual: para cobrarle, guardar su progreso, personalizar su experiencia o poder quitarle el acceso en cualquier momento.

En el próximo módulo

Ahora que ya sabes cómo una app puede identificar quién entra, surge otra pregunta: ¿dónde guardan las fotos y archivos las apps modernas?

En el módulo 4 veremos Supabase Storage: tu Google Drive privado conectado a tu aplicación.

Fuentes