您无法在行级安全策略中获得下划线查询，因此无法实现您所寻找的确切解决方案，但有一种解决方法。
您可以拒绝选定用户的所有访问，然后创建以下数据库函数。末尾的security definer表示此函数将绕过行级安全性。

create or replace function get_user(user_id uuid)
returns public.users
language sql
as
$$
  select * from public.users where id = get_user.user_id;
$$ security definer;

有了上面的函数，您就可以从客户端查询数据，如下所示：

const { data, error} = await supabase.rpc('get_user', { user_id: 'target_user_id_to_query' })

这样，任何人都只能在知道用户的user_id的情况下查询用户，并且您仍然可以直接从客户端查询用户。

请参阅Row Security Policies页面，其中有一个与您的场景完全相同的示例：
在表上启用行安全性（使用ALTER TABLE ... ENABLE ROW LEVEL SECURITY）时，行安全策略必须允许对表进行所有正常访问以选择行或修改行。
[...]
如果未指定角色，或使用特殊的使用者名称PUBLIC，则原则会套用至系统上的所有使用者。若要允许所有使用者只存取使用者表格中他们自己的数据列，可以使用简单的原则：

CREATE POLICY user_policy ON users
    USING (user_name = current_user);