オンラインコンテンツのダウンロードページの作り方(2)


Silicon Valley Super Ware

2020年9月21日








オンラインコンテンツのダウンロードページの作り方(2)

オンラインで決済を行った後にオンラインコンテンツのダウンロードページをどのように実装するかは、販売サイトを作る上での課題の一つです。前回は、サーバ側でレンダリングする方法を紹介しました。

今日は、クライアント(ブラウザー)側でダウンロードページを作る方法を紹介します。

クライアント側でやった方が楽な場合が多い!


最近は、NextやNuxtなどを使ってサーバー側でレンダリングする実装も増えています。
もちろん、NextやNuxtなどを使って実装している場合は、前回のような方法ではなく、
NextやNuxtを使ってサーバー側でダウンロードページを準備するのも一つの方法です。

シンプルに実装する場合は、前回のような、1ページだけのレンダリングの実装は一つの方法ですが、やはり楽なのはReactやVueを使ってクライアント側でページを用意する方法が楽です。

クライアント側で行う方法はいくつか考えられます:
  • 全てをクライアント側で実装する方法
  • URLの取得をバックエンドで行う方法
簡単なのは、すべてをクライアント側で処理してしまう方法です。

最初に、URLのクエリーパラメータのセッションIDを読み取って、Firebaseのデータベースからセッション情報と商品情報を取得して、URLを生成すればOKです。

セッションIDは、Vueの場合は、「created()」で以下のように取得できます。
created() {
    const sessionId = this.$route.query.session_id;
    
  },

全てをクライアント側で処理する場合、Cloud FirestoreのデータベースとStorageの読み込みのためのアクセスをフロントエンド側に与える必要があります。
もう一つ、期限付きのURLはフロントエンドでは生成できません。(バックエンドでの処理が必要になります)

フロントエンドで全部やる場合は、固定リンクを使う必要があります

しかも、処理の過程のプログラムをブラウザーで見る事ができるので、悪意がある人がサイトのJavaScriptを見ると、決済をしていない人でもコンテンツを取得する事が可能になってしまいます。

そこで、URLはバックエンドで生成してもらうという方法の方がより安全に運用できます。
created():void {
    const sessionIdstring | (string | null)[] = this.$route.query.session_id;
    if (sessionId) {
      // Request a signed link from the backend
      axios
        .post("/getlink", {
          sessionId: sessionId,
        })
        .then((res:AxiosResponse=> {
          this.url = res.data.url;
        })
        .catch((error:any=> {
          this.error = true;
        });
    }
  },
セッションIDをバックエンドに渡せば、バックエンドがURLを生成して返してくれます。

セキュリティルールが変わってくる!

この2つの実装方法の違いは、セキュリティルールです!
フロントエンドで全て処理する場合には、データベースとStorage共にクライアント側に読み込み許可を与えないとできません。

バックエンドに任せる場合、フロント側はデータベースやストレージにアクセスする事はないので、読み込みの許可は「禁止」で良い事になります。

これが大きな違いです。セキュリティールールで読み込み禁止にしておけば、ブラウザーからJavaScriptのコードを見てもデータベースへのアクセスはできません。

セッションIDも決済の際にStripeが発行するだけなので、これを他の人が取得できる可能性は低くなります。したがってリンクの取得は決済を行った人以外は難しくなります。

ちょっとした実装の違いですがサービスのセキュリティは大きく変わります!

バックエンドと連携する事でより安全なサービスが作れます!

この例からもお分かりの様に、機能の実装自体はフロントエンドだけでも出来る場合が殆どです。しかし、サービスのセキュリティを考えると、バックエンドを上手く使った方が、セキュリティの高いサービスが実現できる事多くなります。

Firebaseを利用して、実装する場合、フロントエンドからのアクセス中心で実装する事が多くなりますが、その場合はセキュリティルールを上手く設定する事が重要です。

セキュリティルールを書くのが面倒な場合は、バックエンドにアクセスを代行させた方が、簡単なルールでセキュリティを確保しやすくなります。

バックエンドでやれば安全という事ではありません

ここで、勘違いしないで頂きたいのは、バックエンドならば安全という意味ではない事です。バックエンドのアクセスに必要な情報を上手く組み合わせる必要があるという事を忘れないでください。今回の例では決済のセッションIDです。これは、決済を行った人以外は入手が困難な情報なのでセキュリティ確保に利用できます。

そのほかの例では、ログインした情報とそのセッションを利用すれば、ログインしていない人はバックエンドのアクセスを拒否するように作る事ができます。

バックエンドを使うのに必要な情報を上手く選ぶことがセキュリティの高いサービスを作る基本です。そうした事を考えながらシステムを設計します!

シリコンバレースーパーウエアでは、フリーランスの方だけではなく、プログラミングを職業とされる方にビジネスを意識した マインドセットを身に着けるお手伝いも提供しています。プログラミングは手段であって、それをどのように生かして、将来のキャリアに結び付けて行くかを長期的な視点で考えるのがとても大切です。この意識が出来ると勉強の方向も絞られて、あなたの夢を実現する道筋が見えてきます。

興味のある方は今すぐお問合せください!



またよろしければ、ニュースレターの登録をお願いします!大体週一回お届けしています。ブログよりは一歩踏み込んだもっと濃い内容を発信しています。

コメント

コメントを投稿

このブログの人気の投稿

ユーザーインターフェースの設計

イメージ
ホーム ブログ Firebase情報 ユーザーインターフェースの設計 2022年10月12日 ユーザーインターフェースの設計 前回は、入力フォームを変更して四則演算をできるようにしました。利用しているフォームは数式の穴埋め形式になっています。計算をする場合、一般的な電卓のようなインターフェースの方が一般の方には使いやすい場合が多いと言えます。今回は、ユーザーインターフェースを変更して一般的な電卓のようにする方法について考えてみました。 HTML でデザイン これまでの、ユーザーインターフェースは、数式の穴埋め形式のフォームでした。 今回は、一般的な電卓のようなユーザーインターフェースを実現します。 この記事では、プログラムの部分は取り敢えず別にして、まずはユーザーインターフェースを作成することにします。 Web アプリの場合、ユーザーインターフェースは基本的に HTML で記述します。 今回の電卓形式のユーザーインターフェースは、電卓の数字を表示する部分(ディスプレイ部分)と数字や演算子を入力する部分(ボタン部分)に分けて考えることができます。 HTML では、「input」のタグでディスプレイ部分を、「button」のタグでボタン部分を記述できます。 <!DOCTYPE html> <html> <head> <title>Calculator</title> </head> <body> <div class="calc"> <div> <input class="display" type="text" /> </div> <div class="keypad"> <div> <button class="clea
続きを読む

足し算以外もできるようにする

イメージ
ホーム ブログ Firebase情報 足し算以外もできるようにする 2022年9月29日 足し算以外もできるようにする 穴埋め形式の数式のフォームを使って足し算をするプログラムを紹介しましたが、同じ要領で、引き算、掛け算、割り算もサポートできるとさらに便利です。この記事では、足し算のプログラムを拡張して、整数の子息演算をできるようにした例を紹介します。 演算子を選べるように変更する 足し算のアプリでは、計算できるのは足し算だけだったので、フォームには「+」を固定で表示していました。 この部分に変更を加えて、必要な演算子を選択できるようにすれば、引き算、掛け算、割り算もサポートできるようにできます。 これには、HTML の記述を変更してフォームを変更する必要があります。 <label>+</label> を以下のように変更します。 <select onchange="operatorChanged(event)"> <option>+</option> <option>-</option> <option>*</option> <option>/</option> </select> HTML の「select」タグを使って、選択肢は、「option」タグで記述するだけです。 演算子の変更を反映する プログラム側でやることは三つです。 初期状態の演算子を設定する (最初にフォーム上で表示されている演算子をセットする) 演算子の変更を検出して、現在選択されている選択肢を更新する 「Calcullate」ボタンがクリックされたら必要な処理を呼び出す 現在どの演算子が選択されているかを知る必要があります。実装方法は幾つかありますが、今回は選択が変更される度に現在選択されている演算子を更新する方法を採用した例を紹介します。 これには、現在選択されている演算子を保存する変数「operator」を用意して管理します。
続きを読む

改良版足し算プログラム

イメージ
ホーム ブログ Firebase情報 改良版足し算プログラム 2022年9月15日 改良版足し算プログラム 前回は、入力データのチェックを工夫することで、データを処理する前に想定外のデータの入力を制限するユーザーインターフェースの設計について紹介しました。この記事では、そのコンセプトを使って、実際に足し算をするプログラムにしてみました。今回のポイントは、ユーザーインターフェースとデータ処理を分けるという点に注目してみました。プログラムの設計の際には、この二つの境界をきちんと設定する事が大切です。 データの処理は? このプログラムは、入力された二つの整数を足して結果を表示するというシンプルなプログラムです。 このプログラムのデータ処理部分は、実は二つの整数の足し算をするだけです。 つまり、プログラムのデータ処理部分は以下の関数「add(a, b)」だけです。 function add(a, b) { return a + b; } 処理自体は、二つの整数「a」と「b」を受け取って、この二つの整数を足し算した結果を返すというシンプルなものです。 残りのプログラムは? このプログラムのデータ処理部分は、至ってシンプルです。 では、残りのプログラムは何かというと、これがユーザーインターフェースになります。 <!DOCTYPE html> <html> <head> <title>Add Program</title> </head> <body> <div> <input id="opeland0" type="text" placeholder="Please input integer" /> <label>+</label> <input id="opeland1" type="text&qu
続きを読む