このプラグインと同等の機能が Movable Type 6.1 にて実装されましたので、Movable Type 6.1 以上の環境では使用されないようお願いします。
Movable Type 6が発売されて4か月ほど経過しました。
多くの機能追加が行われ大きな進化を遂げたこのバージョンの最大の目玉はなんといってもData APIでしょう。
Data APIを使うことでWebサービスのバックエンドをMTで・・・ということもできそうですので、今後そういったところも試してみようと考えています。
さて、Data APIは大変便利な機能ではあるのですが、運用に際して、気を付けたい点があります。
今回は、この気を付けたい点と、その対策となる(かもしれない)プラグインを紹介します。
Data APIの運用上気を付けたい点として、公式のドキュメントに次のような記載があります。
Data APIを初期状態で利用すると、ブログの各種情報が取得できます。場合によっては、本当は公開したくない情報も、API経由で取得することができます。
公式サイトでは、「公開したくないフィールド」については環境変数DisableResourceFieldを使用するよう書いてあります。
では、「公開したくないブログ」がある場合どのように対処すればよいでしょうか?
例えば一部のブログだけユーザー認証やIP制限を行うことで閲覧の制限を行っているサイトを運用されているケースなどです。
この場合、Data APIを使わないサイトであればmt-data-api.cgiを使わない(削除する)ことが一番確実な対処方法だと思われます。
一部のブログだけData APIを使いたいという場合、ブログ・ウェブサイト単位でData APIの機能を制限する必要があります。
今回この機能を提供するプラグインを作成しましたので紹介します。
動作の仕組みなどはドキュメントをご参照ください。
プラグインの動作条件は次の通りです。
- Movable Type バージョン6.0x以上
ドキュメント:DataAPI Disablerプラグイン ドキュメント
ダウンロード:zip形式
ライセンス:MITライセンス
エムロジックでは、閲覧制限プラグイン「AccessControl+」を開発し、Movable Typeプラグイン販売サイト「3rdFocus」においてライセンスの販売を行っております。Data APIと連携した本格的な閲覧制限サイトをお考えの場合には、ぜひご検討ください。
Movable Typeプラグイン販売サイト 3rdFocus
