Platform
Backend: een Supabase-fundament voor serieuze AI-softwarelevering
Authenticatie, een echte Postgres-database, bestandsopslag en row-level security komen met je app mee — niet als een apart project dat je zelf moet bekabelen.
De backend van Ciao is Supabase-aangedreven: authenticatie, een Postgres-database, bestandsopslag, row-level security en API's gegenereerd naast je applicatie. In tegenstelling tot spreadsheet-gebaseerde app-bouwers geeft Ciao elk project een echte relationele database met toegangsregels afgedwongen op de database zelf — standaardinfrastructuur die je engineers kunnen inspecteren en bevragen, en die je bezit samen met de rest van de code.
Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03
Echte apps hebben een echte datalaag nodig
Elke serieuze applicatie is een database met een gebruikersinterface om. De datalaag is ook waar app-bouwers meestal hoeken afsnijden: spreadsheets als opslag, inloggen erop geklikt, rechten als hoop. Het werkt in de demo — en dan verschijnt een tweede team, echte klanten of een auditor.
Ciao geeft elke applicatie een Supabase-aangedreven backend: authenticatie, een Postgres-database, bestandsopslag, row-level security en API's — gegenereerd naast de applicatie en meegroeiend ermee. Het is de infrastructuur die engineers bewust zouden kiezen, aankomend zonder de setup. En omdat hij met de applicatie meekomt, drijven het datamodel en de interface nooit uit elkaar — het een beschrijft het ander.
Hoe de backend samenkomt
De backend wordt gegenereerd met de applicatie en groeit via dezelfde loop.
1. Beschrijf de data in gewone taal
'Klanten hebben abonnementen; facturen horen bij klanten' wordt een relationeel schema in Postgres, met de juiste types en relaties.
2. Authenticatie wordt bekabeld
Inloggen, sessies en gebruikersbeheer bestaan vanaf het begin, want auth is het fundament waarop elke toegangsregel bouwt.
3. Row-level security dwingt af wie wat ziet
Toegangsregels leven in de database zelf: de queries van een gebruiker kunnen alleen de rijen raken die het beleid toestaat, zelfs als er een bug in applicatiecode sluipt.
4. Opslag verwerkt de bestanden
Uploads, documenten en afbeeldingen krijgen een thuis met dezelfde toegangsregels toegepast — geen publieke bucket die iemand later zou vergrendelen.
5. API's stellen de data beschikbaar
Gegenereerde endpoints laten je applicatie — en je integraties — op een gecontroleerde, consistente manier met de data werken.
6. Het schema evolueert onder governance
Wijzigingen komen als migraties op branches, via review en QA-gates, zodat de datalaag opgroeit met het product in plaats van ertegen te vechten.
Waarom dit ertoe doet
Row-level security is het detail waard om bij stil te staan. Rechten-checks op applicatieniveau falen open: één vergeten voorwaarde en data lekt. Row-level security faalt gesloten — de database weigert wat beleid niet toestaat. De Security-laag van Ciao test die grenzen dan tegen de live applicatie, zodat 'de rechten werken' wordt getest, niet aangenomen.
En omdat het Supabase en Postgres is — standaard, veelgebruikte infrastructuur — is niets aan je datalaag proprietary. Engineers kunnen hem direct bevragen, en als je de applicatie exporteert, gaan het schema en datamodel mee. 100% eigenaarschap omvat de backend.
De backend is ook waar AI-assisted development het meest discipline nodig heeft, omdat data functies overleeft. Schermen worden herbouwd; schema's stapelen zich op. De datalaag genereren via governed migraties — gereviewed, getest, vastgelegd — betekent dat de database vijfhonderd wijzigingen verderop nog steeds een schema is dat iemand kan lezen, geen archeologische site met een inlogpagina.
Wie gebruikt het
Een echte datalaag verandert waar elke rol op kan vertrouwen.
- Niet-engineers — Zij krijgen een correcte datalaag — echt schema, afgedwongen rechten — zonder te hoeven weten wat dat is.
- Engineers — Standaard Postgres die ze kunnen inspecteren en bevragen, zonder een proprietary opslagmachine die hen bij export verrast.
- Bureaus — Elke klantbuild staat op hetzelfde betrouwbare fundament in plaats van wat het project van de week improviseerde.
- Gereguleerde teams — Afgedwongen toegangsregels, geteste grenzen en een audit trail — het datalaagverhaal waar compliance daadwerkelijk naar vraagt.
Security- en governance-notities
- ✓ Row-level security dwingt toegang af op de database, niet enkel in de UI.
- ✓ Toegangscontrole-probes van Ciao Security testen die regels tegen de live app.
- ✓ Schemawijzigingen gaan uit als migraties via branches, review en QA-gates.
- ✓ Rolgebaseerde toegangscontrole bepaalt wie de datalaag kan wijzigen.
- ✓ Bestandsopslag erft dezelfde toegangsregels als de data waarbij het hoort.
- ✓ Klantcode wordt niet gebruikt om modellen te trainen; inferentie draait onder zero-retention modelcontracten.
- ✓ Het schema is standaard Postgres — op elk moment exporteerbaar met je applicatie.
Wat elke Ciao-backend bevat
Alles in deze tabel wordt geleverd met elk project — niets ervan is een upgrade.
| Mogelijkheid | Wat je krijgt |
|---|---|
| Authenticatie | Inloggen, sessies en gebruikersbeheer vanaf het begin in de app bekabeld |
| Postgres-database | Een echt relationeel schema gegenereerd uit beschrijvingen in gewone taal |
| Bestandsopslag | Uploads en documenten met dezelfde toegangsregels toegepast |
| Row-level security | Toegang afgedwongen door de database zelf, getest tegen de live app |
| API's | Gegenereerde endpoints voor je applicatie en zijn integraties |
Veelgestelde vragen
Is de backend vergrendeld aan Ciao?
Nee. Hij is Supabase-aangedreven, standaard Postgres, en het exporteren van je applicatie omvat het schema en datamodel. Er zit geen proprietary opslagmachine tussen jou en je data.
Wat is row-level security in de praktijk?
Beleid dat in de database leeft en, per rij, beslist wat elke gebruiker kan lezen of schrijven. Als applicatiecode een bug heeft, weigert de database nog steeds queries die het beleid niet toestaat — rechten falen gesloten in plaats van open.
Kunnen onze engineers direct met de database werken?
Ja — het is standaard Postgres, dus ze kunnen hem inspecteren en bevragen met de tools die ze al gebruiken. Schemawijzigingen lopen nog steeds via governed migraties, dus directe toegang wordt geen niet-gedocumenteerde wijziging.
Kunnen we bestaande data in een Ciao-app brengen?
Ja — beschrijf de vorm van wat je hebt en het schema wordt gebouwd om het te ontvangen, met imports afgehandeld als onderdeel van de build. Voor grotere of gevoeligere migraties, bespreek het eerst met het team.
Hoe werkt de backend samen met security-tests?
Toegangscontrole-probes proberen cross-boundary lees- en schrijfacties tegen de live applicatie — de row-level-securityregels worden uitgeoefend, niet enkel gereviewd. De resultaten voeden het safe-to-publish dashboard.