Security
嬉しい体験の裏側に、安全な設計を。
Pixmileは「写真をきれいに見せる」だけでなく、写真の原本、顧客情報、必要な場合の購入情報を安全に扱うための運用設計を重視しています。本番資格情報や外部連携は環境ごとに分け、ローカルでは安全モードを前提にします。
原本保護
権限管理
R2台帳管理
外部連携分離
Deep dive
原本保護、権限、外部連携、R2台帳管理、ローカル安全モードまで、運用事故を避ける設計を重視します。
原本と公開画像を分ける
公開ページでは表示用データを使い、受領者や購入権限のある人だけが原本を受け取れる設計です。
- 受領・購入権利の確認
- 署名URLなど期限付きダウンロード
- 閲覧・ダウンロード履歴
R2は台帳を正にする
R2の中を一覧走査して状態を探すのではなく、DB台帳・既知キー・必要な確認だけで運用します。
- R2バケットスキャンを前提にしない
- 既存キーをそのまま利用
- 高コスト操作は明示確認を必須化
環境ごとに外部連携を分ける
ローカル、本番、ステージングで資格情報と送信経路を分け、誤送信を防ぎます。
- ローカルでは外部HTTP・本番送信を遮断
- Google OAuth / Stripe / Resend / blastengineを環境ごとに確認
- 本番反映前のバックアップと検証
Flow
実際の流れ
- 01 権限と公開範囲を設定する
- 02 台帳で対象を確認する
- 03 外部連携を環境別に検証する
- 04 ログとバックアップを残す
Next
受け取った人が嬉しくなる納品を、今日から。
まずはアルバムを整え、写真が広告や雑音に埋もれず、大切に届く体験を小さく始められます。販売は必要なときだけ追加できます。