アクセスコントロール機能が実装された

このサイトにアクセスコントロール機能が実装された。 ブラウザから特定の API を叩くことでコントロールできるようになっている。 アクセスコントロールの変更の際には WebAuthn による認証を 必須としている。万が一 API が公開されてしまったとしても WebAuthn の鍵を登録していないと変更は出来ないため、比較的強固になっていると思われる。

内部では(どうせ同一ホスト上にあるのであんま意味ない気がするが) ロードバランサー挟んでサーバー 3 つという構成である。 そのため 3 つのサーバーで状態を同期させる必要がある。 そのために別途裏側でイベントドリブンにアクセス制御状態を同期する仕組みが 構築されている。