■ SurveyGateアンケートへのアクセス
- ハッシュ計算時の文字列連結が正しいか(
hash_secret + mid + mmid)
- ハッシュアルゴリズムがSHA-256か
- ハッシュ出力が小文字のhex形式か
- URLパラメータ(
mid, mmid, hash)がすべて必須として設定されているか
- URLエンコードが適切に処理されているか
- ハッシュ計算処理がサーバーサイドで実行されているか(秘密鍵の保護)
■ ポイント付与API
- リクエストヘッダーの
X-API-Key {api_key}が正しく受け取れているか
- リクエストボディの必須パラメータ(
reward_request_id, request_date, points)がチェックされているか
- 重複チェックが
reward_noとmonitor_idの組み合わせで行われているか
- 重複通知が来た場合、エラーとして返さず正常に処理済みとして扱っているか(べき等性の確保)
- 重複チェックに永続化ストレージ(DB/Redis)を使用しているか(メモリ変数ではない)
- 適切なHTTPステータスコードを返しているか
■ インフラ・ネットワーク関連
- ファイアウォールやアクセス制限を設定している場合、SurveyGate側の接続元IPアドレス(本番:
34.146.108.145、検証環境: 34.104.151.28)を許可リストに追加しているか(詳細は「ポイント付与API」を参照)
- WAFやリバースプロキシ等で通信の電文(リクエストボディ)サイズに上限を設定している場合、1リクエストあたり1.5MB程度を許容する設定になっているか(
points配列は最大5000件まで送信されるため)