
操作前の確認
実装前にAPI、認証、権限、ログの責務を切り分けます。
標準手順
画面で再現できる状態を作り、APIレスポンスとログを同じ時刻で突き合わせます。
証跡の残し方
連携失敗時はレスポンス、アクセスログ、監査ログ、外部通知の配送履歴をそろえて調査します。
実際のコンソール導線に合わせて、対象機能、操作ステップ、確認ポイントを画面例で追えるようにしています。
公開フォーム、送信管理、自動返信、外部通知を一つの受付線として設計します。
公開フォーム
フォームは公開URLから送信され、管理画面で送信内容を確認します。開発者は埋め込み先、公開状態、必須項目、完了画面、送信後の通知先を確認し、公開前にテスト送信を行います。送信データを外部に渡す場合は、個人情報の扱いと保持期間も合わせて確認します。
APIだけを見て判断せず、画面の権限ガード、組織コンテキスト、外部通知やログの記録まで含めて確認します。
実装前提、画面/API、ログの3点を同じ時刻で追える形にします。
スパム対策
reCAPTCHAやバリデーションを有効にし、送信失敗時はアクセスログと画面設定を確認します。短時間の大量送信、必須項目の欠落、ファイル添付のサイズ超過などは運用時に起きやすいため、フォーム公開前にエラー時の表示と管理画面での見え方を確認します。
APIだけを見て判断せず、画面の権限ガード、組織コンテキスト、外部通知やログの記録まで含めて確認します。
実装前提、画面/API、ログの3点を同じ時刻で追える形にします。
外部通知
外部通知を使うことで送信イベントを外部CRMや通知基盤へ接続できます。通知の成否は配送履歴で確認し、外部側で受信できなかった場合は再送、通知先URL、署名検証、レスポンスコードを順に確認します。
APIだけを見て判断せず、画面の権限ガード、組織コンテキスト、外部通知やログの記録まで含めて確認します。
実装前提、画面/API、ログの3点を同じ時刻で追える形にします。