【質問内容】ログインIDを管理者発行にするクローズなアプリを作りたいです。
bubbleのチュートリアル等で、
利用者側が
サインアップ→サインイン→ログイン
という流れは分かったのですが、
管理者側が、特定の利用者に向けてID発行し、利用者のステータスごとに閲覧可能なページ制限したいとと思っています。
こちらは可能なのでしょうか。
できるとしたらどの辺りを学べば宜しいでしょうか。
ご教示頂けると大変助かります。
また、bubbleのセキュリティ的に顧客情報等の情報は、あまり上げない方が良いのでしょうか。
回答者
「セキュリティ/インフラ屋」の観点からお話します。
“管理者側が、特定の利用者に向けてID発行し、利用者のステータスごとに閲覧可能なページ制限したいとと思っています。こちらは可能なのでしょうか。”
可能です。僕が知る限りこの応用編的な動画は見たことがありません。ただこちらは「管理者」と「ユーザ」に分ける時と基本は全て同じです。
例えばDB上に「userRole」と言う項目を追加し、そこに
・admin: 管理者
・user: ユーザ
・guest: 閲覧ユーザ
のように分けます。これをBubbleの「Workflow / Design」タブにある「Conditional」で「userRole = (上記のうちどれか)」で表示を切り替えれば可能です。
ただ通常のプログラミングよりもとても煩雑になる可能性があるので少し工夫は必要です。
例えば「admin/user/guest」専用のページを作ってしまい、アクセス権を持ってないユーザであれば何も表示させず自身のページに飛ばし、各ページでそれぞれ必要な機能を実装すれば良いのかな、と。「Reusable elements」でコンテンツ部分を作ってしまえば各ページで同じものが配置できるので考えるべきですね。
“また、bubbleのセキュリティ的に顧客情報等の情報は、あまり上げない方が良いのでしょうか。”
こちらは以前調べたのですが結論から言うと「あまり上げない方が良い」です。ただ最近追加された「Secret」タイプを使うと保存されたデータが一応暗号化されるので「暗号化されたデータ」はある程度の安全性が保たれます。
機密情報のレベルにもよりますが「自分で管理が可能なDB」に保存するのが1番安全です。
質問者
大変参考になります。
また、具体的なデータの持たせ方についても助かります。
ありがとうございます!
セキュリティ的にもまだまだbubbleのサービス自体が発展途上といったところでしょうか。
さきほど購入したbubbleのUdemy教材を参考にしつつ学びを深めたいと思います。
回答者
セキュリティはノーコードに限らず全てのサービスにおいて後回しにされますw お金を持ってるとこですらケチるので「成熟 or 発展途上」であるかは完全に「その会社で働いている人達のセキュリティ意識」に依存します。僕の観点から言うとBubbleは「未熟」です :爆笑:
「Secret」タイプの添付がされてなかったので念のため貼っておきます。
僕が見落としていたのですがプライバシーロールを設定すれば決められた項目を非表示にすることが可能になるのでBubble上でもより安全にデータが保存出来るようになります。
https://blog.nocodelab.jp/entry/privacy
