<aside>

1. はじめに

</aside>

Dify でつくった Web アプリは 「URL を知っていれば誰でも入れてしまう」

ここが悩ましいポイントです。

もちろん外部サービスでログイン画面を用意し、Nginx リバースプロキシーで URL を隠蔽し……という王道もあります。けれど、

• ドメインと証明書の用意
• リバースプロキシー設定（Basic 認証や JWT 検証）
• CORS・Cookie の取り回しの地雷処理

などと、上級インフラ職人コース まっしぐら。開発コストもメンテ負荷も跳ね上がります。

「そこまでの大工事はちょっと…」

「でも“誰でもアクセスできる”のはさすがに困る…」

そんなモヤモヤを一撃で解決するのが、今回紹介する 「Dify アプリ内で完結する Supabase メール／パスワード認証」 です。

この記事でやること

1. Supabase Auth のメール認証を ON にする（デフォルトでONになっている）
2. HTTP リクエストノード で /auth/v1/token?grant_type=password を叩く
3. 返ってきた access_token を チャットフロー内変数 auth として保存
4. 認証成否で 回答ノード を分岐させる

これだけで、「URL は公開のまま、でもログインしないと本処理に進まない」 という安全弁が付きます。しかも追加コストは Supabase の無料枠内 で完結。前の記事で取り上げた Supabase × RLS をデータガードとするなら、本記事は 玄関カギの取り付け編 という位置づけです。

<aside>

2. 今回のゴールと全体図

</aside>