MOONGIFT.dev #1「ヘッドレスCMS」

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev Shifter Headlessに関しては、あくまでコンテンツ管理にfocusしたCMSという位置づけですので分離していません。 呼び出し元のJamstackアプリ側で、Vercelなどを使ってDEV / STG / PRODの環境を運用してもらう想定です。

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev 用意しています。ステージングは、フロントエンド側にも構築できますし、バックエンド側でも構築できます。組み合わせが色々ありますが、ステージ用の一時URLを発行するパターンが多いですね。

MOONGIFT.dev @moongift_dev

残った質問：フロントエンド側で、データ更新をリアルタイムで検知する機能（SKDやWebSocket）は提供されていますか？ #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev Shifter HeadlessはAPIとコンテンツ管理画面の提供がメインなので、提供はありません。 「WordPressのデータにWebSocketでアクセスしたい」要望が多ければ、プラグインの選定または作成を検討するかもしれません。

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev RESTのAPIのみなので、SKDやWebSocketなどは提供していません。FirebaseのFirestoreと連携できるので、現状だとそちらを利用いただくとかでしょうか。

MOONGIFT.dev @moongift_dev

残った質問：SEO対策やOGP実装をSPAで実装する時に良い方法はありますか？ SSGでサイトを制作すればある程度解決できますが、ビルド時間が長くなったり、SPAで制作する方がシンプルにできることが多いのでSPAでSEO、OGPの問題を解決できる方法があれば教えてほしいです。 #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev Google botはSPAでもクローリングしてくれるといわれていますので、OGP対策がメインになりやすいですね。 prerender.io を使うか、Next.jsのSSR またはISRを使ってしまうのも手だと思います。

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev 私もSEOはそこまで気にしなくてよいかなと思いますが、OGPは対策しないといけないと思います。現在、静的サイトジェネレーター(KurocoFront)の方でOGP対策用の機能を開発中ですので、是非、ご期待ください。

MOONGIFT.dev @moongift_dev

残った質問：それぞれセキュリティ面やパフォーマンス面のアピールポイントや、ベストプラクティス聴きたいです #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev Shifter Headlessの場合、常にWordPressやプラグインを最新版になるようにしています。あとはWAFもいれています。 それはそうとして、どの環境だろうと、WordPressとプラグイン・テーマは常に最新版を使ってください（懇願）

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev CDN/WAF/SLA等が標準装備などいろいろありますので、是非こちらをご覧ください！ kuroco.app/ja/docs/securi…

柴田 和祈｜microCMS @shibe97

@moongift_dev microCMSはサーバーレス構成を採用しているため、大量のトラフィックに強く、高い冗長性・可用性があります。 またセキュリティ対策についてはこちらのページをご覧ください。 microcms.io/features/secur…

MOONGIFT.dev @moongift_dev

残った質問：質問じゃないかもしれませんが、 Web のホスティング以外の事例（例: 先ほどの Slack みたいなもの）があればもっとたくさんお聞きしたいです #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev 2016年ごろにAlexaからWP APIを叩いてブース訪問者の声をあつめる展示をやっていました。 digitalcube.jp/products/alexa…

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev IoT的なデバイスからデータを収集するとか、逆に設定値を配信するとかそういった使い方をしてる案件がありました。

MOONGIFT.dev @moongift_dev

残った質問：フロントエンドの作成の仕方がまずくてシステム全体が脆弱になるようなケースをどうやって防いでいるのでしょうか？ #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev APIキーなどの認証情報さえ漏らさなければ、とりあえずCMSにまで問題が波及することは少ないかなと思います。 デフォルトですと、WP APIなどは認証なしリクエストでのGET以外のリクエストは拒絶しますので。

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev フロントエンドの実装がまずいパターンで思い浮かぶのは、SSGしててAPIで余計な情報もHTMLに記述されてたとかだと思いますが、APIで出力されるデータの絞り込みは設定でできるので、そちらをしっかり確認いただくとかですかね。。

MOONGIFT.dev @moongift_dev

残った質問：サイトの一部コンテンツをWordPressで作成しているサイトを複数持っています。ヘッドレスCMSの利用を検討しているのですが、サイトを複数持つ(ドメインは別)場合、ドメインごとに契約するイメージでしょうか。契約は一回きりで、ドメインをまたいだ利用が可能でしょうか。 #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev 「1CMSで複数サイト」も理論上可能です。 ただ、APIやGraphQLクエリが複雑になりやすいので、設計を頑張るか、サイト別に用意する方が無難ではあると思います。

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev ドメインを跨いで利用いただくのがヘッドレスCMSっぽいですね。

MOONGIFT.dev @moongift_dev

残った質問：それぞれの headlessCMS において、認証周りはどう処理されているのでしょうか？（考え方や実装の癖など） #MOONGIFT

hidetaka@Stripe Developer Advocate @hidetaka_dev

@moongift_dev デフォルトではApplication Passwordsというものを発行して使う方法が使えます。それ以外の方法については、WordPressプラグインを入れて、必要な認証を設定するスタイルです。 "Shifter Headless で利用可能なプラグイン一覧"はここから確認できます。 getshifter.io/ja/pricing/

加藤 健太 / Diverta Inc. CEO @katoh_kenta

@moongift_dev 静的トークン、動的トークン、Cookieが利用できます。Cookieが実装が楽なのでお勧めですが、APIのドメインをフロントエンドのドメインのサブドメインなどにしてもらう必要があります。管理画面側はCookieで認証しています。で答えになっておりますでしょうか？

柴田 和祈｜microCMS @shibe97

@moongift_dev microCMSではAPIキーが認証用のキーとなります。 APIキーは自由に生成でき、どのAPIのどのメソッド（GET/POST/PUT/PATCH/DELETE）を許可するのか等を柔軟に設定できるようになる機能を近日リリース予定です。