公開前セキュリティと本番設定を1日で固めた確認ログ
目次(5件)
図: 公開導線を絞りつつ本番確認を進める全体像
Intro
結論として、この記事は「公開前にどこを確認すれば安全に公開できるか」を初心者向けに順番付きで整理したメモです。
2/10前半で実施した内容は、次の3点です。
- 管理者だけが管理画面を使える状態を作る。
- 新規登録ができない状態を固定する。
- 本番環境で公開導線と管理導線の分離を確認する。
専門用語が出る箇所は、最初に短く意味を添えます。例えば再デプロイ(最新版を本番へ反映すること)や Sign up OFF(新規登録を無効化する設定)です。
Main 1: 優先1(管理導線・登録停止・許可外遮断)
図: 管理導線と登録経路の閉鎖を Before/After で比較
結論として、優先1のゴールは「管理画面に入れる人を管理者だけに限定し、新規登録経路を閉じること」です。
実施手順は次の4つです。
NEXT_PUBLIC_ADMIN_EMAILSを実運用の管理者メールに更新する。 理由: 許可ユーザーの判定基準を明確にするため。- Supabase の Sign up を OFF に設定する。 理由: 新規登録そのものを認証基盤側で止めるため。
/signupが 404 になることを確認する。 理由: 画面側から登録入口を見せないため。- 許可外メールで
/adminに入れないことを確認する。 理由: 設定ミスがあっても実挙動で検知できるため。
この順番で確認すると、「設定したつもり」で終わるリスクを減らせます。設定値の変更とアクセス結果の確認をセットにすると、公開前チェックとして成立します。
初心者向け補足: 最低限おさえるべきポイントは「誰が入れるか」と「どこから入れるか」です。ここが閉じていれば、公開直後の事故をかなり防げます。
Main 2: 優先2(本番URL確認・公開画面導線確認)
結論として、優先2のゴールは「本番環境 <production-url> で公開側と管理側の導線が意図通り分離されていること」を確認することです。
本番確認チェックリストは次の7項目です。
- 再デプロイ(最新版の本番反映)を実行する。
- 公開ヘッダーにログイン導線が出ていないことを確認する。
/postsが正常表示されることを確認する。/contactのフォーム導線が動くことを確認する。- 未ログインで
/adminにアクセスし、/login?next=%2Fadminに遷移することを確認する。 /signupが 404 になることを確認する。- ここまでの結果を「公開側の閲覧専用運用」として判定する。
この確認を本番で行う理由は、ローカル環境では見えない設定差分を拾うためです。公開前に本番で確認すれば、公開後の緊急修正を減らせます。
初心者向け補足: 「画面が開くか」だけでなく「開いてはいけない画面が開かないか」を同時に確認すると、チェックの質が上がります。
Main 3: 判定と次に残る確認
結論として、前半(優先1-2)は完了判定にできる状態です。
完了判定条件は次の3つです。
- 管理アクセス制御が機能している。
- 新規登録経路が閉じている。
- 本番で公開導線と管理導線の分離が確認できている。
次に残る確認は後半へ引き継ぎます。
- 投稿の通し動作(作成→公開→編集→削除→反映)
- SEO最低対応(
robots.txt/sitemap.xml/noindex)
初心者向け補足: 1日で全部を混ぜるより、「入口制御」と「運用テスト」を分割すると、ミスの原因を追いやすくなります。
Wrap-up
図: 前半で固定した公開前チェック項目
結論として、公開前の不安を減らす最短ルートは「確認項目の順番を固定すること」です。
次回も再利用できる運用ルールは次の3つです。
- 先に認証と登録経路を閉じる(優先1)。
- 次に本番導線を実機で確認する(優先2)。
- 完了判定条件を満たしたら、後半の通し運用テストへ進む。
この順番を守るだけで、確認漏れと手戻りを減らしやすくなります。公開前チェックは「項目の多さ」より「実行順序の固定」が効きます。