这个问题我之前帮好几个开发者排查过，核心原因其实很明确：当用户点击密码重置链接时，Supabase会自动创建一个临时会话来验证用户身份，方便后续的密码更新操作。但如果用户没完成密码重置就退出应用，这个临时会话不会自动失效，所以下次启动应用时，Supabase会自动恢复这个会话，导致用户直接登录到首页。

下面分享几个落地性很强的解决思路，你可以根据自己的项目结构选择：

思路1：用本地标记追踪重置流程，启动时自动校验登出 #

这个方法的核心是给“密码重置流程”打个标记，应用启动时检查这个标记，如果存在就说明用户上次没完成重置，直接登出。

步骤1：进入重置页面时标记状态 #

在处理密码重置deeplink的逻辑里，把“正在重置密码”的状态保存到本地（用SharedPreferences就行）：

// 处理deeplink跳转的代码示例
Future<void> handleResetPasswordDeeplink(String deeplink) async {
  final uri = Uri.parse(deeplink);
  if (uri.path.contains('reset-password')) {
    // 保存重置流程标记到本地
    final prefs = await SharedPreferences.getInstance();
    await prefs.setBool('isInPasswordResetFlow', true);

    // 导航到密码重置页面
    Navigator.of(context).pushNamed('/reset-password');
  }
}

步骤2：完成重置后清除标记 #

当用户成功重置密码（调用updatePassword后），记得把这个标记删掉，避免下次启动误触发登出：

// 密码重置成功的处理逻辑
Future<void> resetPassword(String newPassword) async {
  try {
    await supabase.auth.updatePassword(newPassword);
    // 清除重置流程标记
    final prefs = await SharedPreferences.getInstance();
    await prefs.remove('isInPasswordResetFlow');
    
    // 导航到登录页或首页
    Navigator.of(context).pushReplacementNamed('/login');
  } on AuthException catch (e) {
    // 处理错误
    ScaffoldMessenger.of(context).showSnackBar(SnackBar(content: Text(e.message)));
  }
}

步骤3：应用启动时校验标记并登出 #

在应用的初始化入口（比如main函数里），检查本地标记，如果存在就执行登出，同时清除标记：

void main() async {
  WidgetsFlutterBinding.ensureInitialized();
  
  // 初始化Supabase
  await Supabase.initialize(
    url: '你的Supabase URL',
    anonKey: '你的Anon Key',
  );

  // 检查重置流程标记
  final prefs = await SharedPreferences.getInstance();
  final isInResetFlow = prefs.getBool('isInPasswordResetFlow') ?? false;
  if (isInResetFlow) {
    // 登出临时会话
    await supabase.auth.signOut();
    // 清除标记，避免重复触发
    await prefs.remove('isInPasswordResetFlow');
  }

  runApp(const MyApp());
}

思路2：拦截重置页面的返回操作 #

除了应用关闭的场景，还要考虑用户从重置页面按返回键回到首页的情况，这时候也应该自动登出，避免残留会话。可以用WillPopScope组件来拦截返回事件：

class ResetPasswordPage extends StatefulWidget {
  const ResetPasswordPage({super.key});

  @override
  State<ResetPasswordPage> createState() => _ResetPasswordPageState();
}

class _ResetPasswordPageState extends State<ResetPasswordPage> {
  @override
  Widget build(BuildContext context) {
    return WillPopScope(
      // 拦截返回键事件
      onWillPop: () async {
        final prefs = await SharedPreferences.getInstance();
        // 登出并清除标记
        await supabase.auth.signOut();
        await prefs.remove('isInPasswordResetFlow');
        return true; // 允许返回
      },
      child: Scaffold(
        appBar: AppBar(title: const Text('重置密码')),
        body: /* 你的重置密码表单 */,
      ),
    );
  }
}

额外注意事项 #

• 确保SharedPreferences的操作都是异步的，必须等待完成再执行后续逻辑，避免出现标记未及时更新的情况。
• 如果你的应用用了状态管理（比如Provider、Riverpod），也可以把isInPasswordResetFlow的状态放到状态管理容器里，这样跨页面访问更方便，不用每次都调用SharedPreferences。
• 测试时要覆盖所有场景：点击重置链接进入页面后直接关应用、按返回键、完成重置后再关应用，确保每种情况都符合预期。

本质上就是通过本地状态追踪重置流程，在合适的时机清理临时会话，避免残留登录状态，这样就能解决你遇到的问题啦。