Closed7
Rails8のAuthenticationを試した
webuilder240下記記事を参考にして動かした結果を色々書いてます
Rails8のインストールから
下記で執筆時点でRails8のベータが手に入る。
gem install rails --pre --no-document
Authentication
ubuntu@DESKTOP-7F3HAF0:~/tmp/authenticate_sample$ bin/rails generate authentication
invoke erb
create app/views/passwords/new.html.erb
create app/views/passwords/edit.html.erb
create app/views/sessions/new.html.erb
create app/models/session.rb
create app/models/user.rb
create app/models/current.rb
create app/controllers/sessions_controller.rb
create app/controllers/concerns/authentication.rb
create app/controllers/passwords_controller.rb
create app/mailers/passwords_mailer.rb
create app/views/passwords_mailer/reset.html.erb
create app/views/passwords_mailer/reset.text.erb
create test/mailers/previews/passwords_mailer_preview.rb
gsub app/controllers/application_controller.rb
route resources :passwords, param: :token
route resource :session
gsub Gemfile
bundle install --quiet
generate migration CreateUsers email_address:string!:uniq password_digest:string! --force
rails generate migration CreateUsers email_address:string!:uniq password_digest:string! --force
invoke active_record
create db/migrate/20241006093336_create_users.rb
generate migration CreateSessions user:references ip_address:string user_agent:string --force
rails generate migration CreateSessions user:references ip_address:string user_agent:string --force
invoke active_record
create db/migrate/20241006093337_create_sessions.rb
ここからは実際のコードを確認して、感想だったり気になったりする部分を書いていく。
webuilder240migrationファイル
users
ここにメールアドレスとパスワードハッシュが入ってくる
class CreateUsers < ActiveRecord::Migration[8.0]
def change
create_table :users do |t|
t.string :email_address, null: false
t.string :password_digest, null: false
t.timestamps
end
add_index :users, :email_address, unique: true
end
end
sessions
実際にユーザーに関連するsession情報がRDBMSに保存されている。
これでsessionを開発者側から管理することができるので、個人的にはRedisなんかでやるよりこっちの選択のほうがいい気がしている。
class CreateSessions < ActiveRecord::Migration[8.0]
def change
create_table :sessions do |t|
t.references :user, null: false, foreign_key: true
t.string :ip_address
t.string :user_agent
t.timestamps
end
end
end
Modelのコード
user.rb
class User < ApplicationRecord
has_secure_password
has_many :sessions, dependent: :destroy
normalizes :email_address, with: -> e { e.strip.downcase }
end
normalizes で大文字を小文字になるように正規化している。
has_secure_password についてはもともとRailsに備え付けられていたやつ。
session.rb
ここはほとんどロジックもないので、説明を割愛。
class Session < ApplicationRecord
belongs_to :user
end
current.rb
ActiveSupport::CurrentAttributes を継承している。
正直使いどころを気をつけないといけない問題の機能だと思っている。
リクエスト内部で有効なグローバル変数みたいなやつで、便利だけどテストが難しくなったりなど、
評価は賛否両論という感じ。個人的には多用は危険だと思っている。
class Current < ActiveSupport::CurrentAttributes
attribute :session
delegate :user, to: :session, allow_nil: true
end
上記で現在ログイン中のsessionをCurrent.session で、ログイン中のユーザーを Current.user で取得できるようにしている。delegate はActiveSupportにあるやつ。
以上のコードがモデルに生成される。
webuilder240Controller関係のコード
application_controller.rb
class ApplicationController < ActionController::Base
include Authentication
# Only allow modern browsers supporting webp images, web push, badges, import maps, CSS nesting, and CSS :has.
allow_browser versions: :modern
end
include Authentication が追記されている。ここにほとんどの認証に関わる機能が入っている感じ.
session_controller.rb
ここで実際にログイン処理があって、メールアドレスとパスワードを入力して認証する。
成功したら、sessionモデルを作成して、cookieに書き込んでいる。
class SessionsController < ApplicationController
allow_unauthenticated_access only: %i[ new create ]
rate_limit to: 10, within: 3.minutes, only: :create, with: -> { redirect_to new_session_url, alert: "Try again later." }
def new
end
def create
if user = User.authenticate_by(params.permit(:email_address, :password))
start_new_session_for user
redirect_to after_authentication_url
else
redirect_to new_session_url, alert: "Try another email address or password."
end
end
def destroy
terminate_session
redirect_to new_session_url
end
end
passwords_controller.rb
class PasswordsController < ApplicationController
allow_unauthenticated_access
before_action :set_user_by_token, only: %i[ edit update ]
def new
end
def create
if user = User.find_by(email_address: params[:email_address])
PasswordsMailer.reset(user).deliver_later
end
redirect_to new_session_url, notice: "Password reset instructions sent (if user with that email address exists)."
end
def edit
end
def update
if @user.update(params.permit(:password, :password_confirmation))
redirect_to new_session_url, notice: "Password has been reset."
else
redirect_to edit_password_url(params[:token]), alert: "Passwords did not match."
end
end
private
def set_user_by_token
@user = User.find_by_password_reset_token!(params[:token])
rescue ActiveSupport::MessageVerifier::InvalidSignature
redirect_to new_password_url, alert: "Password reset link is invalid or has expired."
end
end
ここでパスワードリセットのロジックが実装されている。
このクラス名はわかりづらいな...
concern/authentication.rb
Authentication はconcernで実装されている。
module Authentication
extend ActiveSupport::Concern
included do
before_action :require_authentication
helper_method :authenticated?
end
class_methods do
def allow_unauthenticated_access(**options)
skip_before_action :require_authentication, **options
end
end
private
def authenticated?
Current.session.present?
end
def require_authentication
resume_session || request_authentication
end
def resume_session
Current.session = find_session_by_cookie
end
def find_session_by_cookie
Session.find_by(id: cookies.signed[:session_id])
end
def request_authentication
session[:return_to_after_authenticating] = request.url
redirect_to new_session_url
end
def after_authentication_url
session.delete(:return_to_after_authenticating) || root_url
end
def start_new_session_for(user)
user.sessions.create!(user_agent: request.user_agent, ip_address: request.remote_ip).tap do |session|
Current.session = session
cookies.signed.permanent[:session_id] = { value: session.id, httponly: true, same_site: :lax }
end
end
def terminate_session
Current.session.destroy
cookies.delete(:session_id)
end
end
ここからはちょっと動かしたり調べたりしたことから雑感をまとめていく。
webuilder240良いところ
- DHHが書いた認証コードなので、ログイン機能そのものに対しての品質はいくばくか保証されている。
- 37SignalsのONCEで見かけた認証コードがここでもという感じ。
-
current.rbなどが受け入れることができれば...の話ですが。
- sessionsがテーブル管理されていて、RDBMSのレコードを削除することでログアウトできること。
- ただし、ブラウザのcookieの有効期限切れだったりを制御するコードは特にないので、すべてが実際にログイン中で現在利用可能なsessionではない。なので、余計なsessionだったりが残りがちなので、掃除方法だったり、ユーザーが退会した場合に消したりということは必要になると思う。
- ぶっちゃけこの辺が気に入らなければ、このジェネレータのコードを参考にしながら自作したほうがいいと思う。
- Rails8で導入された組み込みの
rate_limitが入っているのもGoodPoint。設定もまぁそんなもんよねーって感じ。
webuilder240課題
個人的にこの辺は評価が分かれそう OR not for meなところを書いていく
-
ActiveSupport::CurrentAttributesが使われていること。- 事実上グローバル変数のようなもので、用法用量を守らないと破綻すること。
- 個人的には駆け出しのエンジニアがテストしやすいようにデータをクリアしながら、乱用しすぎないように使い分けるのはかなり至難の業だと思っている。
- 最初に作られたモデルクラスを親だと思って作るので、あまりよくない実装も広まるのが速い。
- generatorでユーザーに関わるテーブルも作成される。個人的には
usersテーブルで保持する情報は最小限にしてuser_authenticate_information(名前は適当)みたいなモデルを作って認証情報やパスワードだったりはusersと別テーブルにしたい。- generator でその振る舞いをされると、usersに色々カラム追加していいのか!となる。(これはdeviseにも言えることですが)
-
https://agilejourney.uzabase.com/entry/2022/07/28/103000
- このようなテーブル設計を個人的には良いと思っているので、ここはDHHなんかと主張がちがうところ。
-
PasswordControllerがパスワードリセットに関わる処理があるように見得るのが個人的には違和感。- パスワード更新とリセットは微妙に実装が違うこともあるので
Password::ResetControllerにするとかがいいんじゃないかなーと思ったり。
- パスワード更新とリセットは微妙に実装が違うこともあるので
webuilder240所感
generatorでしかないので、色々自分たちで自由に変えるという考えがベースとしてあるのだと思いますし、Rails8で導入されたような新機能が豊富に使われているわけではありません。
deviseを使った方法でしかユーザー認証をしたことないRailsに慣れてきたエンジニアか、これまで devise を使わずユーザー認証してきたエンジニアであれば個人的にはお勧めできるかなーという感じ。
逆にあまりRailsに慣れていない駆け出しエンジニアや初学者にはあんまりおすすめできなくて、
自信がないのであれば他に資料が豊富なdeviseであったりを使った方がいいのではないでしょうか。
しかし、このように認証のコードであっても恐れることなく、ライブラリ使わなくても安全に実装できるよ。ということをDHHが「よいお手本」を示してくれたので、deviseなどのライブラリを使わず認証してきたエンジニアにとっては良い安心材料であるといえるでしょう。
このスクラップは8日前にクローズされました