railsチュートリアル挑戦記 第9章 発展的なログイン機構
railsチュートリアルをやりながらメモしたことをそのまま記述しています。
第9章発展的なログイン機構
remember meというブラウザを再起動した後でもすぐにログインできる機能を備えていることが一般的になってきた
remember meチェックボックスを使って、ユーザーの任意でログイン情報を記憶する方法について学ぶ
・9 1 Remember me 機能
いつものようにトピックブランチを作成する
git checkout -b advanced-login
・9 1 1 記憶トークンと暗号化
セッション永続化の第一歩として記憶トークン(remember token)を生成し、
cookiesメソッドによる永続的cookiesの作成や、安全性の高い記憶ダイジェスト(remember digest)
によるトークン認証にこの記憶トークンを活用する。
トークンは、秘密情報
パスワードはユーザーが作成・管理するのに対し、トークンはコンピューターが作成・管理する
cookiesを永続化するとセッションハイジャックという攻撃を受ける可能性がある
これは記憶トークンを奪って特定のユーザーになりすましてログインするというもの
cookiesを盗み出す有名な方法は4つある
管理の甘いネットワークを通過するネットワークパケットからパケットスニッファという特殊なソフトウェアで直接cookieを取り出す
データベースから記憶トークンを取り出す
クロスサイトスクリプティングを使う
ユーザーがログインしているパソコンやスマホを直接操作してアクセスを奪い取る
次の方針で永続的セッションを作成することにする
①記憶トークンにはランダムな文字列を生成して用いる。
②ブラウザのcookiesにトークンを保存するときには、有効期限を設定する。
③トークンはハッシュ値に変換してからデータベースに保存する。
④ブラウザのcookiesに保存するユーザーIDは暗号化しておく。
⑤永続ユーザーIDを含むcookiesを受け取ったら、そのIDでデータベースを検索し、記憶トークンのcookiesがデータベース内のハッシュ値と一致することを確認する。
まずは、remember_digest属性をUserモデルに追加する
rails generate migration add_remember_digest_to_users remember_digest:string
出来上がったファイルはデフォルトのままでよい
そして変更を反映
rails db:migrate
以下のコマンドは長さ22のランダムな文字列を返す
SecureRandom.urlsafe_base64
トークン生成用メソッドを追加する
app/models/user.rb
----------------------------
class User < ApplicationRecord
before_save { self.email = email.downcase }
validates :name, presence: true, length: { maximum: 50 }
VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
validates :email, presence: true, length: { maximum: 255 },
format: { with: VALID_EMAIL_REGEX },
uniqueness: { case_sensitive: false }
has_secure_password
validates :password, presence: true, length: { minimum: 6 }
# 渡された文字列のハッシュ値を返す
def User.digest(string)
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
BCrypt::Engine.cost
BCrypt::Password.create(string, cost: cost)
end
# ランダムなトークンを返す
def User.new_token
SecureRandom.urlsafe_base64
end
end
----------------------------
rememberメソッドをUserモデルに追加する green
app/models/user.rb
----------------------------
class User < ApplicationRecord
attr_accessor :remember_token
before_save { self.email = email.downcase }
validates :name, presence: true, length: { maximum: 50 }
VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
validates :email, presence: true, length: { maximum: 255 },
format: { with: VALID_EMAIL_REGEX },
uniqueness: { case_sensitive: false }
has_secure_password
validates :password, presence: true, length: { minimum: 6 }
# 渡された文字列のハッシュ値を返す
def User.digest(string)
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
BCrypt::Engine.cost
BCrypt::Password.create(string, cost: cost)
end
# ランダムなトークンを返す
def User.new_token
SecureRandom.urlsafe_base64
end
# 永続セッションのためにユーザーをデータベースに記憶する
def remember
self.remember_token = User.new_token
update_attribute(:remember_digest, User.digest(remember_token))
end
end
----------------------------
selfがないとローカル変数が作られちゃうからアカン
クラスメソッドにself.とつけても同じ動作
クラス内にclass << selfとつけても同じ動作
ただし、クラスメソッドなのかどうかわかりづらくなる
・9 1 2 ログイン状態の保持
cookiesは、1つのvalueとオプションのexpiresからできている
authenticated?をUserモデルに追加する
app/models/user.rb
----------------------------
class User < ApplicationRecord
attr_accessor :remember_token
before_save { self.email = email.downcase }
validates :name, presence: true, length: { maximum: 50 }
VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
validates :email, presence: true, length: { maximum: 255 },
format: { with: VALID_EMAIL_REGEX },
uniqueness: { case_sensitive: false }
has_secure_password
validates :password, presence: true, length: { minimum: 6 }
# 渡された文字列のハッシュ値を返す
def User.digest(string)
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
BCrypt::Engine.cost
BCrypt::Password.create(string, cost: cost)
end
# ランダムなトークンを返す
def User.new_token
SecureRandom.urlsafe_base64
end
# 永続セッションのためにユーザーをデータベースに記憶する
def remember
self.remember_token = User.new_token
update_attribute(:remember_digest, User.digest(remember_token))
end
# 渡されたトークンがダイジェストと一致したらtrueを返す
def authenticated?(remember_token)
BCrypt::Password.new(remember_digest).is_password?(remember_token)
end
end
----------------------------
ログインしてユーザーを保持する
app/controllers/sessions_controller.rb
----------------------------
class SessionsController < ApplicationController
def new
end
def create
user = User.find_by(email: params[:session][:email].downcase)
if user && user.authenticate(params[:session][:password])
log_in user
remember user
redirect_to user
else
flash.now[:danger] = 'Invalid email/password combination'
render 'new'
end
end
def destroy
log_out
redirect_to root_url
end
end
----------------------------
ユーザーを記憶する
app/helpers/sessions_helper.rb
----------------------------
module SessionsHelper
# 渡されたユーザーでログインする
def log_in(user)
session[:user_id] = user.id
end
# ユーザーのセッションを永続的にする
def remember(user)
user.remember
cookies.permanent.signed[:user_id] = user.id
cookies.permanent[:remember_token] = user.remember_token
end
# 現在ログインしているユーザーを返す (いる場合)
def current_user
if session[:user_id]
@current_user ||= User.find_by(id: session[:user_id])
end
end
# ユーザーがログインしていればtrue、その他ならfalseを返す
def logged_in?
!current_user.nil?
end
# 現在のユーザーをログアウトする
def log_out
session.delete(:user_id)
@current_user = nil
end
end
----------------------------
永続的セッションのcurrent_userを更新する red
app/helpers/sessions_helper.rb
----------------------------
module SessionsHelper
# 渡されたユーザーでログインする
def log_in(user)
session[:user_id] = user.id
end
# ユーザーのセッションを永続的にする
def remember(user)
user.remember
cookies.permanent.signed[:user_id] = user.id
cookies.permanent[:remember_token] = user.remember_token
end
# 記憶トークンcookieに対応するユーザーを返す
def current_user
if (user_id = session[:user_id])
@current_user ||= User.find_by(id: user_id)
elsif (user_id = cookies.signed[:user_id])
user = User.find_by(id: user_id)
if user && user.authenticated?(cookies[:remember_token])
log_in user
@current_user = user
end
end
end
# ユーザーがログインしていればtrue、その他ならfalseを返す
def logged_in?
!current_user.nil?
end
# 現在のユーザーをログアウトする
def log_out
session.delete(:user_id)
@current_user = nil
end
end
----------------------------
rails test
ログ
----------------------------
ec2-user:~/environment/sample_app (advanced-login) $ rails test
Running via Spring preloader in process 5479
Started with run options --seed 41860
FAIL["test_login_with_valid_information_followed_by_logout", UsersLoginTest, 0.7490999879996707]
test_login_with_valid_information_followed_by_logout#UsersLoginTest (0.75s)
Expected at least 1 element matching "a[href="/login"]", found 0..
Expected 0 to be >= 1.
test/integration/users_login_test.rb:43:in `block in <class:UsersLoginTest>'
25/25: [===========================================] 100% Time: 00:00:00, Time: 00:00:00
Finished in 0.80148s
25 tests, 65 assertions, 1 failures, 0 errors, 0 skips
ec2-user:~/environment/sample_app (advanced-login) $
----------------------------
エラーになることを確認
ログインしたあと、ログアウトする機構がないため
・9 1 3 ユーザーを忘れる
ログイン情報を破棄する準備を整える
forgetメソッドをUserモデルに追加する red
app/models/user.rb
----------------------------
class User < ApplicationRecord
attr_accessor :remember_token
before_save { self.email = email.downcase }
validates :name, presence: true, length: { maximum: 50 }
VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
validates :email, presence: true, length: { maximum: 255 },
format: { with: VALID_EMAIL_REGEX },
uniqueness: { case_sensitive: false }
has_secure_password
validates :password, presence: true, length: { minimum: 6 }
# 渡された文字列のハッシュ値を返す
def User.digest(string)
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
BCrypt::Engine.cost
BCrypt::Password.create(string, cost: cost)
end
# ランダムなトークンを返す
def User.new_token
SecureRandom.urlsafe_base64
end
# 永続セッションのためにユーザーをデータベースに記憶する
def remember
self.remember_token = User.new_token
update_attribute(:remember_digest, User.digest(remember_token))
end
# 渡されたトークンがダイジェストと一致したらtrueを返す
def authenticated?(remember_token)
BCrypt::Password.new(remember_digest).is_password?(remember_token)
end
# ユーザーのログイン情報を破棄する
def forget
update_attribute(:remember_digest, nil)
end
end
----------------------------
そして、ログアウト時に忘れるようにする
永続セッションからログアウトする green
app/helpers/sessions_helper.rb
----------------------------
module SessionsHelper
# 渡されたユーザーでログインする
def log_in(user)
session[:user_id] = user.id
end
.
.
.
# 永続的セッションを破棄する
def forget(user)
user.forget
cookies.delete(:user_id)
cookies.delete(:remember_token)
end
# 現在のユーザーをログアウトする
def log_out
forget(current_user)
session.delete(:user_id)
@current_user = nil
end
end
----------------------------
そしてrails test
ログ
----------------------------
ec2-user:~/environment/sample_app (advanced-login) $ rails test
Running via Spring preloader in process 5727
Started with run options --seed 54847
25/25: [===========================================] 100% Time: 00:00:00, Time: 00:00:00
Finished in 0.64514s
25 tests, 67 assertions, 0 failures, 0 errors, 0 skips
ec2-user:~/environment/sample_app (advanced-login) $
----------------------------
イイネ!
・9 1 4 2つの目立たないバグ
バグが2つある
1つ目は、2つタブを開いてる状態でログアウトを2回押したときにアクセスエラーになること
2つ目は、2つのブラウザでログイン状態で、片方をログアウトしてもう片方はログアウトせずに再起動するとなんか起こるらしい
まずはそれを検知するテストを書く
ユーザーログアウトのテスト red
test/integration/users_login_test.rb
----------------------------
require 'test_helper'
class UsersLoginTest < ActionDispatch::IntegrationTest
.
.
.
test "login with valid information followed by logout" do
get login_path
post login_path, params: { session: { email: @user.email,
password: 'password' } }
assert is_logged_in?
assert_redirected_to @user
follow_redirect!
assert_template 'users/show'
assert_select "a[href=?]", login_path, count: 0
assert_select "a[href=?]", logout_path
assert_select "a[href=?]", user_path(@user)
delete logout_path
assert_not is_logged_in?
assert_redirected_to root_url
# 2番目のウィンドウでログアウトをクリックするユーザーをシミュレートする
delete logout_path
follow_redirect!
assert_select "a[href=?]", login_path
assert_select "a[href=?]", logout_path, count: 0
assert_select "a[href=?]", user_path(@user), count: 0
end
end
----------------------------
そしてrails test
ログ
----------------------------
ec2-user:~/environment/sample_app (advanced-login) $ rails test
Running via Spring preloader in process 6341
Started with run options --seed 12487
ERROR["test_login_with_valid_information_followed_by_logout", UsersLoginTest, 0.6113354240001172]
test_login_with_valid_information_followed_by_logout#UsersLoginTest (0.61s)
NoMethodError: NoMethodError: undefined method `forget' for nil:NilClass
app/helpers/sessions_helper.rb:34:in `forget'
app/helpers/sessions_helper.rb:41:in `log_out'
app/controllers/sessions_controller.rb:18:in `destroy'
test/integration/users_login_test.rb:43:in `block in <class:UsersLoginTest>'
25/25: [===========================================] 100% Time: 00:00:00, Time: 00:00:00
Finished in 0.65198s
25 tests, 64 assertions, 0 failures, 1 errors, 0 skips
ec2-user:~/environment/sample_app (advanced-login) $
----------------------------
ログイン中の場合のみログアウトする green
app/controllers/sessions_controller.rb
----------------------------
app/controllers/sessions_controller.rb
class SessionsController < ApplicationController
.
.
.
def destroy
log_out if logged_in?
redirect_to root_url
end
end
----------------------------
これでok
rails testで問題ないことを確認
次は、イチからの手順でやるのは困難
ただ、同じ問題をテストするだけなら簡単
ダイジェストが存在しない場合のauthenticated?のテスト red
test/models/user_test.rb
----------------------------
require 'test_helper'
class UserTest < ActiveSupport::TestCase
def setup
@user = User.new(name: "Example User", email: "user@example.com",
password: "foobar", password_confirmation: "foobar")
end
.
.
.
test "authenticated? should return false for a user with nil digest" do
assert_not @user.authenticated?('')
end
end
----------------------------
rails testでエラーになることを確認
ログ
----------------------------
ec2-user:~/environment/sample_app (advanced-login) $ rails test
Running via Spring preloader in process 6594
Started with run options --seed 48310
ERROR["test_authenticated?_should_return_false_for_a_user_with_nil_digest", UserTest, 0.49320461099978274]
test_authenticated?_should_return_false_for_a_user_with_nil_digest#UserTest (0.49s)
BCrypt::Errors::InvalidHash: BCrypt::Errors::InvalidHash: invalid hash
app/models/user.rb:33:in `new'
app/models/user.rb:33:in `authenticated?'
test/models/user_test.rb:75:in `block in <class:UserTest>'
26/26: [===========================================] 100% Time: 00:00:00, Time: 00:00:00
Finished in 0.63554s
26 tests, 67 assertions, 0 failures, 1 errors, 0 skips
ec2-user:~/environment/sample_app (advanced-login) $
----------------------------
対策は下記
authenticated?を更新して、ダイジェストが存在しない場合に対応 green
app/models/user.rb
----------------------------
class User < ApplicationRecord
.
.
.
# 渡されたトークンがダイジェストと一致したらtrueを返す
def authenticated?(remember_token)
return false if remember_digest.nil?
BCrypt::Password.new(remember_digest).is_password?(remember_token)
end
# ユーザーのログイン情報を破棄する
def forget
update_attribute(:remember_digest, nil)
end
end
----------------------------
rails testで問題ないことを確認
イイネ!
・9 2 [Remember me] チェックボックス
チェックボックスが正常に動作するためにはラベルの内側に配置する必要あり
[remember me] チェックボックスをログインフォームに追加する
app/views/sessions/new.html.erb
----------------------------
<% provide(:title, "Log in") %>
<h1>Log in</h1>
<div class="row">
<div class="col-md-6 col-md-offset-3">
<%= form_for(:session, url: login_path) do |f| %>
<%= f.label :email %>
<%= f.email_field :email, class: 'form-control' %>
<%= f.label :password %>
<%= f.password_field :password, class: 'form-control' %>
<%= f.label :remember_me, class: "checkbox inline" do %>
<%= f.check_box :remember_me %>
<span>Remember me on this computer</span>
<% end %>
<%= f.submit "Log in", class: "btn btn-primary" %>
<% end %>
<p>New user? <%= link_to "Sign up now!", signup_path %></p>
</div>
</div>
----------------------------
体裁を整える
[remember me] チェックボックスのCSS
app/assets/stylesheets/custom.scss
----------------------------
.
.
.
/* forms */
.
.
.
.checkbox {
margin-top: -10px;
margin-bottom: 10px;
span {
margin-left: 20px;
font-weight: normal;
}
}
#session_remember_me {
width: auto;
margin-left: 0;
}
----------------------------
チェックボックスがONかOFFかは
params[:session][:remember_me]
で取り出せる
[remember me] チェックボックスの送信結果を処理する
app/controllers/sessions_controller.rb
----------------------------
class SessionsController < ApplicationController
def new
end
def create
user = User.find_by(email: params[:session][:email].downcase)
if user && user.authenticate(params[:session][:password])
log_in user
params[:session][:remember_me] == '1' ? remember(user) : forget(user)
redirect_to user
else
flash.now[:danger] = 'Invalid email/password combination'
render 'new'
end
end
def destroy
log_out if logged_in?
redirect_to root_url
end
end
----------------------------
・9 3 [Remember me] のテスト
テストをきっちり書いてみよう
・9 3 1 [Remember me] ボックスをテストする
log_in_asヘルパーを追加する
test/test_helper.rb
----------------------------
ENV['RAILS_ENV'] ||= 'test'
.
.
.
class ActiveSupport::TestCase
fixtures :all
# テストユーザーがログイン中の場合にtrueを返す
def is_logged_in?
!session[:user_id].nil?
end
# テストユーザーとしてログインする
def log_in_as(user)
session[:user_id] = user.id
end
end
class ActionDispatch::IntegrationTest
# テストユーザーとしてログインする
def log_in_as(user, password: 'password', remember_me: '1')
post login_path, params: { session: { email: user.email,
password: password,
remember_me: remember_me } }
end
end
----------------------------
[remember me] チェックボックスのテスト green
test/integration/users_login_test.rb
----------------------------
test/integration/users_login_test.rb
require 'test_helper'
class UsersLoginTest < ActionDispatch::IntegrationTest
def setup
@user = users(:michael)
end
.
.
.
test "login with remembering" do
log_in_as(@user, remember_me: '1')
assert_not_empty cookies['remember_token']
end
test "login without remembering" do
# クッキーを保存してログイン
log_in_as(@user, remember_me: '1')
delete logout_path
# クッキーを削除してログイン
log_in_as(@user, remember_me: '0')
assert_empty cookies['remember_token']
end
end
----------------------------
実はテストコードではcookies[:remember_token]とは書けない
なぜなら常にnilになってしまうため
だから下記のようにするしかない
cookies['remember_token']
rails testで問題ないことを確認
イイネ!
・9 3 2 [Remember me] をテストする
current_user内にある複雑な分岐処理について、これまで全くテストが行われていない
試しに下記はパスしてしまうはず
テストされていないブランチで例外を発生するgreen
app/helpers/sessions_helper.rb
----------------------------
module SessionsHelper
.
.
.
# 記憶トークンcookieに対応するユーザーを返す
def current_user
if (user_id = session[:user_id])
@current_user ||= User.find_by(id: user_id)
elsif (user_id = cookies.signed[:user_id])
raise # テストがパスすれば、この部分がテストされていないことがわかる
user = User.find_by(id: user_id)
if user && user.authenticated?(cookies[:remember_token])
log_in user
@current_user = user
end
end
end
.
.
.
end
----------------------------
以下を作る
touch test/helpers/sessions_helper_test.rb
テスト手順はシンプル
fixtureでuser変数を定義
渡されたユーザーをrememberメソッドで記憶
current_userが、渡されたユーザーと同じであることを確認
永続的セッションのテスト
test/helpers/sessions_helper_test.rb
----------------------------
require 'test_helper'
class SessionsHelperTest < ActionView::TestCase
def setup
@user = users(:michael)
remember(@user)
end
test "current_user returns right user when session is nil" do
assert_equal @user, current_user
assert is_logged_in?
end
test "current_user returns nil when remember digest is wrong" do
@user.update_attribute(:remember_digest, User.digest(User.new_token))
assert_nil current_user
end
end
----------------------------
assert_equalの引数は「期待する値, 実際の値」の順序で書く点に注意
これでエラーになることを確認
ログ
----------------------------
ec2-user:~/environment/sample_app (advanced-login) $ rails test
Running via Spring preloader in process 8028
Started with run options --seed 51200
ERROR["test_current_user_returns_nil_when_remember_digest_is_wrong", SessionsHelperTest, 0.10718350400020427]
test_current_user_returns_nil_when_remember_digest_is_wrong#SessionsHelperTest (0.11s)
RuntimeError: RuntimeError:
app/helpers/sessions_helper.rb:19:in `current_user'
test/helpers/sessions_helper_test.rb:17:in `block in <class:SessionsHelperTest>'
ERROR["test_current_user_returns_right_user_when_session_is_nil", SessionsHelperTest, 0.11936452000009012]
test_current_user_returns_right_user_when_session_is_nil#SessionsHelperTest (0.12s)
RuntimeError: RuntimeError:
app/helpers/sessions_helper.rb:19:in `current_user'
test/helpers/sessions_helper_test.rb:11:in `block in <class:SessionsHelperTest>'
30/30: [===========================================] 100% Time: 00:00:00, Time: 00:00:00
Finished in 0.69185s
30 tests, 72 assertions, 0 failures, 2 errors, 0 skips
ec2-user:~/environment/sample_app (advanced-login) $
----------------------------
エラーになることを確認したらraiseを削除
例外発生部分を削除する green
app/helpers/sessions_helper.rb
----------------------------
module SessionsHelper
.
.
.
# 記憶トークンcookieに対応するユーザーを返す
def current_user
if (user_id = session[:user_id])
@current_user ||= User.find_by(id: user_id)
elsif (user_id = cookies.signed[:user_id])
user = User.find_by(id: user_id)
if user && user.authenticated?(cookies[:remember_token])
log_in user
@current_user = user
end
end
end
.
.
.
end
----------------------------
これでok
・9 4 最後に
Bitbucketは普通にpush
herokuでpushする前に、下記コマンドでメンテナンスモードをon
source <(curl -sL https://cdn.learnenough.com/heroku_install)
heroku login --interactive
heroku create(herokuのアプリが5個以上作られていないことに注意!6個以上作られてたらcreateできないので適宜削除)
git remote set-url heroku ****.git(.gitがついてるほうのurlを指定)
heroku maintenance:on
git push heroku master
heroku run rails db:migrate
heroku maintenance:off
・9 4 1 本章のまとめ
Railsでは、あるページから次のページに移動するときに状態を保持することができる
ページの状態を長期間保持したいときは、cookiesメソッドを使って永続的なセッションにする
記憶トークンと記憶ダイジェストをユーザーごとに関連付けて、永続的セッションが実現できる
cookiesメソッドを使うと、ユーザーのブラウザにcookiesなどを保存できる
ログイン状態は、セッションもしくはクッキーの状態に基づいて決定される
セッションとクッキーをそれぞれ削除すると、ユーザーのログアウトが実現できる
三項演算子を使用すると、単純なif-then文をコンパクトに記述できる
この記事が気に入ったらサポートをしてみませんか?