Supabase : le guide complet en français
La plateforme backend open source qui alimente une nouvelle génération d'applications web. PostgreSQL, authentification, stockage, temps réel : tout comprendre avant de construire, par une agence qui l'utilise en production.
Sommaire · Supabase
Les fondamentaux
Supabase, c'est quoi ?
Supabase est une plateforme backend open source lancée en 2020, conçue comme une alternative libre à Firebase, le service backend de Google. En une phrase : Supabase fournit tout ce dont une application web ou mobile a besoin côté serveur, sans avoir à le construire soi-même.
Concrètement, chaque projet Supabase regroupe une base de données PostgreSQL, un système d'authentification, du stockage de fichiers, du temps réel et des fonctions serverless. Une API est générée automatiquement à partir de votre base : votre frontend peut lire et écrire des données dès la première minute.
Le projet est devenu l'un des dépôts les plus populaires de GitHub et la société est aujourd'hui valorisée à plusieurs milliards de dollars. Surtout, Supabase est devenu le backend par défaut des outils de génération d'applications par IA comme Lovable ou Bolt : des dizaines de milliers d'applications reposent désormais dessus, souvent sans que leurs créateurs sachent vraiment ce qu'il y a sous le capot.
PostgreSQL
Une vraie base relationnelle SQL
Open source
Code public, self-hosting possible
Backend complet
Auth, storage, realtime, functions
Architecture
Les briques de Supabase expliquées une à une
Supabase n'est pas un outil monolithique : c'est un assemblage de composants open source éprouvés, orchestrés autour de PostgreSQL. Comprendre chaque brique permet de savoir ce que vous utilisez réellement, et ce que vous payez.
C'est cette architecture modulaire que nous exploitons dans nos développements d'applications web sur-mesure : on active uniquement les briques nécessaires au projet.
Base de données PostgreSQL
Le cœur de Supabase. Une base relationnelle complète : tables, jointures, vues, triggers, fonctions, extensions (PostGIS, pgvector pour l’IA). Vos données restent exportables au format standard.
API auto-générée
Grâce à PostgREST, chaque table devient instantanément une API REST sécurisée. Un client GraphQL est aussi disponible. Zéro code backend à écrire pour les opérations classiques.
Authentification (Auth)
Inscription et connexion par email, magic link, OAuth (Google, GitHub, Apple...), SSO. La gestion des sessions et des tokens JWT est incluse, avec 50 000 utilisateurs actifs offerts.
Storage (fichiers)
Stockage d’images, vidéos et documents avec gestion des permissions par bucket, transformation d’images à la volée et CDN intégré pour la diffusion rapide.
Realtime (temps réel)
Websockets natifs pour écouter les changements de la base en direct : chat, notifications, tableaux de bord collaboratifs, curseurs partagés (broadcast et presence).
Edge Functions
Des fonctions serverless en TypeScript (Deno), déployées au plus près des utilisateurs : webhooks Stripe, envoi d’emails, appels d’API tierces, logique métier sensible.
IA & no-code
Pourquoi Lovable et Bolt génèrent du Supabase
Si vous avez créé une application avec Lovable, Bolt ou un autre outil de vibe coding, il y a de fortes chances qu'elle tourne sur Supabase sans que vous l'ayez choisi. Ces outils l'intègrent par défaut : API simple, authentification prête à l'emploi, plan gratuit, client JavaScript officiel. Pour une IA qui génère du code, c'est le backend idéal.
Cette adoption massive a un revers : des milliers d'applications sont mises en ligne sans aucune revue de sécurité ni d'architecture. Le prototype fonctionne, mais la base est souvent mal protégée, les clés mal gérées et les coûts imprévisibles dès que le trafic arrive.
Nous détaillons ce phénomène dans notre guide du vibe coding et nous accompagnons les porteurs de projets concernés via notre agence spécialisée en vibe coding, pour transformer un prototype IA en produit fiable.
Backend par défaut
Lovable et Bolt branchent Supabase automatiquement sur la plupart des projets générés
Sécurité non vérifiée
Le code généré oublie souvent la Row Level Security : les données deviennent publiques
Prototype vs production
Passer en production exige un audit : sécurité, migrations, sauvegardes, monitoring
Comparatif
Supabase vs Firebase : le comparatif complet
Firebase, lancé par Google en 2012, a longtemps été le backend clé en main de référence. Supabase s'est construit en opposition directe, avec un choix technique fondamental : le relationnel SQL plutôt que le NoSQL. Ce choix change tout pour les applications métier.
| Critère | Supabase | Firebase |
|---|---|---|
| Base de données | PostgreSQL (relationnel, SQL) | Firestore (NoSQL, documents) |
| Requêtes | SQL complet : jointures, vues, agrégations | Requêtes limitées, pas de jointures natives |
| Open source | Oui, self-hosting possible | Non, propriétaire Google |
| Pricing | Paliers prévisibles (gratuit, puis 25 $/mois) | À l’usage : chaque lecture et écriture facturée |
| RGPD et hébergement | Régions UE au choix (Francfort, Irlande...), self-hosting | Google Cloud, écosystème américain (Cloud Act) |
| Réversibilité | Export PostgreSQL standard, migration libre | Fort verrouillage, migration coûteuse |
| Écosystème mobile | SDK Flutter, React Native, Swift, Kotlin | Très mature : notifications FCM, Crashlytics |
Pour aller plus loin : nous avons publié un comparatif détaillé critère par critère, avec des cas d'usage concrets, dans notre article Supabase vs Firebase : lequel choisir.
Sécurité
Le piège n°1 : la Row Level Security (RLS)
C'est LE point qui distingue une application Supabase sérieuse d'une bombe à retardement. Avec Supabase, votre frontend parle directement à la base de données via une clé publique (la clé anon), visible par n'importe qui dans le code de votre site.
La protection ne vient donc pas de la clé, mais de la Row Level Security : des règles PostgreSQL qui définissent, ligne par ligne, qui peut lire ou modifier quoi. Sans RLS, toutes vos données sont accessibles publiquement : emails de vos clients, commandes, messages privés. Des centaines d'applications générées par IA ont exposé des données exactement de cette façon.
Activer la RLS sur chaque table
La RLS doit être activée explicitement sur toutes les tables exposées via l’API, sans exception. Une seule table oubliée suffit à exposer des données sensibles.
Écrire une policy par opération
Lecture, insertion, modification, suppression : chaque opération a besoin de sa propre règle. Une policy trop permissive (USING true) revient à désactiver la protection.
Ne jamais exposer la clé service_role
Cette clé contourne toutes les règles de sécurité. Elle ne doit exister que côté serveur (Edge Functions, API routes), jamais dans le code frontend ni dans un dépôt Git public.
Tester avec un utilisateur anonyme
Le test ultime : ouvrir votre application en navigation privée et tenter de lire les données d’un autre utilisateur via l’API. Si ça passe, votre RLS est défaillante.
Utiliser le Security Advisor de Supabase
Le dashboard Supabase intègre un analyseur qui signale les tables sans RLS et les policies dangereuses. À consulter avant chaque mise en production, puis régulièrement.
À retenir
Une base Supabase sans RLS est une base publique. Si votre application a été générée par un outil IA ou développée rapidement, faites vérifier vos policies avant de collecter des données réelles. C'est précisément ce que couvre notre accompagnement d'agence Supabase, audit de sécurité inclus.
Une application Supabase en projet ou en ligne ?
Audit de sécurité RLS, reprise d'un prototype Lovable ou Bolt, développement sur-mesure : parlons-en concrètement.
Obtenir un devis gratuitBudget
Le pricing réel de Supabase
Contrairement à Firebase qui facture chaque lecture et écriture, Supabase fonctionne par paliers prévisibles. C'est un avantage majeur pour budgéter un projet, à condition de connaître les limites de chaque plan et les coûts additionnels.
Free
0 $
- 500 Mo de base de données
- 50 000 utilisateurs actifs / mois
- 1 Go de stockage de fichiers
- Pause après 7 jours d'inactivité
- 2 projets actifs maximum
Pro
25 $ / mois
- 8 Go de base de données
- 100 000 utilisateurs actifs / mois
- 100 Go de stockage de fichiers
- Sauvegardes quotidiennes (7 jours)
- Aucune mise en pause
Team & Enterprise
599 $+ / mois
- SSO, conformité SOC 2, HIPAA
- Sauvegardes étendues (PITR)
- Support prioritaire et SLA
- Enterprise : tarification sur devis
Les coûts à anticiper : au-delà du forfait, Supabase facture les dépassements (base, stockage, bande passante) et les instances de calcul plus puissantes (compute add-ons). Un SaaS avec quelques milliers d'utilisateurs actifs tourne généralement entre 25 et 100 $ par mois : très compétitif face au coût d'un backend hébergé et maintenu manuellement.
Décision
Quand choisir Supabase (et quand l'éviter)
Supabase est un excellent choix par défaut pour la plupart des applications web modernes. Mais aucune technologie n'est universelle : voici notre grille de décision, issue de nos projets en production.
Choisissez Supabase si...
- Vous construisez un SaaS avec des données relationnelles (clients, commandes, réservations)
- Vous voulez un MVP rapide avec authentification et base prêtes à l’emploi
- Le RGPD compte : hébergement UE ou self-hosting requis
- Votre équipe connaît le SQL ou veut monter dessus
- Votre application a besoin de temps réel (chat, tableaux de bord)
- Vous consolidez une application générée par IA (Lovable, Bolt)
Évitez Supabase si...
- Votre app mobile dépend fortement de l’écosystème Google (FCM, Crashlytics, Analytics)
- Vos données sont massivement analytiques : un data warehouse sera plus adapté
- Vous avez besoin de garanties contractuelles fortes sans budget Enterprise
- Votre logique métier est si complexe qu’un backend dédié (Node.js, NestJS) restera plus lisible
- Votre organisation impose une stack interne existante (Java, .NET)
Conseil ONDEV : le choix du backend dépend du projet, pas de la mode. Sur certains projets nous utilisons Supabase, sur d'autres Strapi, Neon ou un backend Node.js sur-mesure. Le bon réflexe : décider sur la base de vos données, de votre budget et de vos contraintes réglementaires.
Preuves
L'expertise ONDEV sur Supabase
Ce guide n'est pas théorique : nous opérons Supabase en production. Notre réalisation la plus emblématique est Wiloq, une application SaaS de vestiaire numérique pour l'événementiel, construite avec Next.js et Supabase : authentification, base PostgreSQL, temps réel et déploiement Vercel. Découvrez l'étude de cas complète de Wiloq.
Au-delà de Supabase, notre équipe conçoit des applications métier exigeantes : une application R&D pour SNEF qui fait gagner 1h30 tous les 2 jours aux équipes, une application métier pour Dassault Aviation utilisée par plus de 90 collaborateurs (1h gagnée par processus), ou encore la plateforme Swap&Share et ses 200+ échanges de compétences.
Nous réalisons aussi des audits d'applications générées par IA sur Supabase : vérification RLS, revue de la structure de base, optimisation des coûts et fiabilisation avant mise en production. Toutes nos prestations autour de la plateforme sont détaillées sur notre page agence Supabase.
12+
Fonctionnalités Wiloq
SaaS Next.js + Supabase en production
3
Interfaces distinctes
Organisateurs, staff et participants
90+
Utilisateurs Dassault
Applications métier grands comptes
FAQ
Questions fréquentes sur Supabase
Prêt à construire sur Supabase ?
SaaS sur-mesure, audit de sécurité RLS ou reprise d'un prototype IA : nous transformons Supabase en avantage concurrentiel pour votre entreprise.