Closed7

Rails8のAuthenticationを試した

webuilder240webuilder240

下記記事を参考にして動かした結果を色々書いてます

https://zenn.dev/canesro/articles/0733a791680eb3

Rails8のインストールから

下記で執筆時点でRails8のベータが手に入る。
gem install rails --pre --no-document

Authentication

ubuntu@DESKTOP-7F3HAF0:~/tmp/authenticate_sample$ bin/rails generate authentication
      invoke  erb
      create    app/views/passwords/new.html.erb
      create    app/views/passwords/edit.html.erb
      create    app/views/sessions/new.html.erb
      create  app/models/session.rb
      create  app/models/user.rb
      create  app/models/current.rb
      create  app/controllers/sessions_controller.rb
      create  app/controllers/concerns/authentication.rb
      create  app/controllers/passwords_controller.rb
      create  app/mailers/passwords_mailer.rb
      create  app/views/passwords_mailer/reset.html.erb
      create  app/views/passwords_mailer/reset.text.erb
      create  test/mailers/previews/passwords_mailer_preview.rb
        gsub  app/controllers/application_controller.rb
       route  resources :passwords, param: :token
       route  resource :session
        gsub  Gemfile
      bundle  install --quiet
    generate  migration CreateUsers email_address:string!:uniq password_digest:string! --force
       rails  generate migration CreateUsers email_address:string!:uniq password_digest:string! --force 
      invoke  active_record
      create    db/migrate/20241006093336_create_users.rb
    generate  migration CreateSessions user:references ip_address:string user_agent:string --force
       rails  generate migration CreateSessions user:references ip_address:string user_agent:string --force 
      invoke  active_record
      create    db/migrate/20241006093337_create_sessions.rb

ここからは実際のコードを確認して、感想だったり気になったりする部分を書いていく。

webuilder240webuilder240

migrationファイル

users

ここにメールアドレスとパスワードハッシュが入ってくる

class CreateUsers < ActiveRecord::Migration[8.0]
  def change
    create_table :users do |t|
      t.string :email_address, null: false
      t.string :password_digest, null: false

      t.timestamps
    end
    add_index :users, :email_address, unique: true
  end
end

sessions

実際にユーザーに関連するsession情報がRDBMSに保存されている。
これでsessionを開発者側から管理することができるので、個人的にはRedisなんかでやるよりこっちの選択のほうがいい気がしている。

class CreateSessions < ActiveRecord::Migration[8.0]
  def change
    create_table :sessions do |t|
      t.references :user, null: false, foreign_key: true
      t.string :ip_address
      t.string :user_agent

      t.timestamps
    end
  end
end
webuilder240webuilder240

Modelのコード

user.rb

class User < ApplicationRecord
  has_secure_password
  has_many :sessions, dependent: :destroy

  normalizes :email_address, with: -> e { e.strip.downcase }
end

normalizes で大文字を小文字になるように正規化している。
https://techracho.bpsinc.jp/hachi8833/2023_06_06/130315
has_secure_password についてはもともとRailsに備え付けられていたやつ。

https://railsdoc.com/page/has_secure_password

session.rb

ここはほとんどロジックもないので、説明を割愛。

class Session < ApplicationRecord
  belongs_to :user
end

current.rb

ActiveSupport::CurrentAttributes を継承している。
正直使いどころを気をつけないといけない問題の機能だと思っている。
リクエスト内部で有効なグローバル変数みたいなやつで、便利だけどテストが難しくなったりなど、
評価は賛否両論という感じ。個人的には多用は危険だと思っている。

class Current < ActiveSupport::CurrentAttributes
  attribute :session
  delegate :user, to: :session, allow_nil: true
end

上記で現在ログイン中のsessionをCurrent.session で、ログイン中のユーザーを Current.user で取得できるようにしている。delegate はActiveSupportにあるやつ。

https://railsguides.jp/active_support_core_extensions.html#メソッドの委譲

以上のコードがモデルに生成される。

webuilder240webuilder240

Controller関係のコード

application_controller.rb

class ApplicationController < ActionController::Base
  include Authentication
  # Only allow modern browsers supporting webp images, web push, badges, import maps, CSS nesting, and CSS :has.
  allow_browser versions: :modern
end

include Authentication が追記されている。ここにほとんどの認証に関わる機能が入っている感じ.

session_controller.rb

ここで実際にログイン処理があって、メールアドレスとパスワードを入力して認証する。
成功したら、sessionモデルを作成して、cookieに書き込んでいる。

class SessionsController < ApplicationController
  allow_unauthenticated_access only: %i[ new create ]
  rate_limit to: 10, within: 3.minutes, only: :create, with: -> { redirect_to new_session_url, alert: "Try again later." }

  def new
  end

  def create
    if user = User.authenticate_by(params.permit(:email_address, :password))
      start_new_session_for user
      redirect_to after_authentication_url
    else
      redirect_to new_session_url, alert: "Try another email address or password."
    end
  end

  def destroy
    terminate_session
    redirect_to new_session_url
  end
end

passwords_controller.rb

class PasswordsController < ApplicationController
  allow_unauthenticated_access
  before_action :set_user_by_token, only: %i[ edit update ]

  def new
  end

  def create
    if user = User.find_by(email_address: params[:email_address])
      PasswordsMailer.reset(user).deliver_later
    end

    redirect_to new_session_url, notice: "Password reset instructions sent (if user with that email address exists)."
  end

  def edit
  end

  def update
    if @user.update(params.permit(:password, :password_confirmation))
      redirect_to new_session_url, notice: "Password has been reset."
    else
      redirect_to edit_password_url(params[:token]), alert: "Passwords did not match."
    end
  end

  private
    def set_user_by_token
      @user = User.find_by_password_reset_token!(params[:token])
    rescue ActiveSupport::MessageVerifier::InvalidSignature
      redirect_to new_password_url, alert: "Password reset link is invalid or has expired."
    end
end

ここでパスワードリセットのロジックが実装されている。
このクラス名はわかりづらいな...

concern/authentication.rb

Authentication はconcernで実装されている。

module Authentication
  extend ActiveSupport::Concern

  included do
    before_action :require_authentication
    helper_method :authenticated?
  end

  class_methods do
    def allow_unauthenticated_access(**options)
      skip_before_action :require_authentication, **options
    end
  end

  private
    def authenticated?
      Current.session.present?
    end

    def require_authentication
      resume_session || request_authentication
    end


    def resume_session
      Current.session = find_session_by_cookie
    end

    def find_session_by_cookie
      Session.find_by(id: cookies.signed[:session_id])
    end


    def request_authentication
      session[:return_to_after_authenticating] = request.url
      redirect_to new_session_url
    end

    def after_authentication_url
      session.delete(:return_to_after_authenticating) || root_url
    end


    def start_new_session_for(user)
      user.sessions.create!(user_agent: request.user_agent, ip_address: request.remote_ip).tap do |session|
        Current.session = session
        cookies.signed.permanent[:session_id] = { value: session.id, httponly: true, same_site: :lax }
      end
    end

    def terminate_session
      Current.session.destroy
      cookies.delete(:session_id)
    end
end

ここからはちょっと動かしたり調べたりしたことから雑感をまとめていく。

webuilder240webuilder240

良いところ

  • DHHが書いた認証コードなので、ログイン機能そのものに対しての品質はいくばくか保証されている。
    • 37SignalsのONCEで見かけた認証コードがここでもという感じ。
    • current.rb などが受け入れることができれば...の話ですが。
  • sessionsがテーブル管理されていて、RDBMSのレコードを削除することでログアウトできること。
    • ただし、ブラウザのcookieの有効期限切れだったりを制御するコードは特にないので、すべてが実際にログイン中で現在利用可能なsessionではない。なので、余計なsessionだったりが残りがちなので、掃除方法だったり、ユーザーが退会した場合に消したりということは必要になると思う。
    • ぶっちゃけこの辺が気に入らなければ、このジェネレータのコードを参考にしながら自作したほうがいいと思う。
  • Rails8で導入された組み込みの rate_limit が入っているのもGoodPoint。設定もまぁそんなもんよねーって感じ。
webuilder240webuilder240

課題

個人的にこの辺は評価が分かれそう OR not for meなところを書いていく

  • ActiveSupport::CurrentAttributes が使われていること。
    • 事実上グローバル変数のようなもので、用法用量を守らないと破綻すること。
    • 個人的には駆け出しのエンジニアがテストしやすいようにデータをクリアしながら、乱用しすぎないように使い分けるのはかなり至難の業だと思っている。
    • 最初に作られたモデルクラスを親だと思って作るので、あまりよくない実装も広まるのが速い。
  • generatorでユーザーに関わるテーブルも作成される。個人的にはusersテーブルで保持する情報は最小限にして user_authenticate_information(名前は適当)みたいなモデルを作って認証情報やパスワードだったりはusersと別テーブルにしたい。
    • generator でその振る舞いをされると、usersに色々カラム追加していいのか!となる。(これはdeviseにも言えることですが)
    • https://agilejourney.uzabase.com/entry/2022/07/28/103000
      • このようなテーブル設計を個人的には良いと思っているので、ここはDHHなんかと主張がちがうところ。
  • PasswordControllerがパスワードリセットに関わる処理があるように見得るのが個人的には違和感。
    • パスワード更新とリセットは微妙に実装が違うこともあるのでPassword::ResetControllerにするとかがいいんじゃないかなーと思ったり。
webuilder240webuilder240

所感

generatorでしかないので、色々自分たちで自由に変えるという考えがベースとしてあるのだと思いますし、Rails8で導入されたような新機能が豊富に使われているわけではありません。

deviseを使った方法でしかユーザー認証をしたことないRailsに慣れてきたエンジニアか、これまで devise を使わずユーザー認証してきたエンジニアであれば個人的にはお勧めできるかなーという感じ。

逆にあまりRailsに慣れていない駆け出しエンジニアや初学者にはあんまりおすすめできなくて、
自信がないのであれば他に資料が豊富なdeviseであったりを使った方がいいのではないでしょうか。

しかし、このように認証のコードであっても恐れることなく、ライブラリ使わなくても安全に実装できるよ。ということをDHHが「よいお手本」を示してくれたので、deviseなどのライブラリを使わず認証してきたエンジニアにとっては良い安心材料であるといえるでしょう。

このスクラップは1ヶ月前にクローズされました