Dancing with Heroku AppLink / 1

（まずはよくありそうなパターンでも）

構成の概要

Heroku AppLinkの活用例として、こんな構成を試しているところ。

• HerokuとSalesforceを組み合わせて上のようなWebシステムを構築してる。
  • HerokuはFrontend(Next.js)とBackend(Medusa.js)を使ってアプリケーションを作成している。
  • Salesforceで作成したデータをHeroku Backendに連携する。BackendのAPIを外部サービスとしてSalesforceに登録しておいて、SalesforceからはFlowを使って連携する。
  • Fronendから送信されたデータは、Backendを介してSalesforceに連携する。Heroku AppLinkを使ってSalesforceへのアクセストークンを取得してSalesforceにデータを書き込む。

構成としては、よくありそうなパターンではなかろうか。

しかし、Heroku BackendにAppLinkを組み込むことで、BackendとSalesforceの実装工数を削減できるし、セキュアな連携を実現できて大変ありがたいのである。
活用ポイントとしては、Heroku BackendとSalesforceの連携が主なところになる。Heroku Backend側の内部についてもう少し細かく見てみよう。

Heroku Backendの中身をもう少し

Heroku AppLinkをaddonとして追加したアプリケーションにはServiceMeshビルドパックを組み込んで、アプリケーション起動時にServiceMeshも起動するように、とドキュメントで明記されている。
（↓こんな感じのProcfileにしよう、と。）

web: APP_PORT=3000 heroku-applink-service-mesh npm start

そうすると、Heroku Routerとアプリケーションの間にServiceMeshが入り込んで、アプリケーションへのリクエスト内容を検証してリクエストヘッダに情報を付加してアプリケーションに流す、といったことをしてくれる。（赤線）

Salesforceからリクエストを投げる際にはリクエストヘッダにアクセストークンなどの情報を暗号化して付与する。それをServiceMesh内で検証して問題なければアプリケーションにリレーする。
検証に失敗すると、Heroku Routerにエラーを返すという具合だ。

従って、アプリケーション側としては、受けとったリクエストがSalesforceからのリクエストかどうか判定するといった防御機能が不要になる。
（ServiceMeshがそこを担保してくれるため）

一方、Salesforce以外のWebアプリケーションからもアクセスしたい場合がある。そういったWebアプリケーションからのリクエストには、当然Salesforceが付与するような情報はないので、そのままではエラーとなってしまう。この場合は（青線）のように「認証とかその他諸々」はスキップして欲しいのである。

実はServiceMeshには、特定のURLパターンへのアクセスであれば「認証とかその他諸々」をバイパスする、という設定を付け足すことができる。[Dig into the Heroku AppLink (not a deep dive) - サービスメッシュについて]
その設定を施すことで、外部アプリケーションからのリクエストも通せるようになるのだ。
（この設定はありがたいが、バイパスする際のリスクは許容できることを確認しましょう）

冒頭の図だと大雑把なので、もう一段詳細なレベルで見てみると、例えばこんな感じに連携できる。

Salesforceが絡むことがないリクエストも、Salesforceが絡むリクエストも実現することは可能である。
Salesforceからも安心して連携できるし、外部とのやりとりも対応できるということで「こういうのでいいんだよ こういうので」という気分になる。

さいごに

別にHeroku AppLinkを使わなくたって構築することは可能だろうが、色々と考慮しなければならないことも多くなるし、それに伴って実装工数も増えるし...と、使わないことのメリットというのはあまりない...と感じる今日この頃。

上記以外にも使い道はあると思うので、ぜひ色々試してみて共有して頂けると大変嬉しいです。