LoginSignup
4
6

More than 5 years have passed since last update.

@hippie0314( 亮平 藤澤)

rails5 cookiesでremember me機能を実装したい~railstutorial解説~

Posted at

業務的なところで、ログイン機能を実装することになり、改めて復習をしてみるついでに、remember me機能について解説してみた。
また、remember me機能はrailstutorialを読んでた際に非常に苦労した覚えが以前あったので、inputを整理するために書いた。
何か認識として間違えていることなどあったら、コメントや、一番下の自分のtwitterからDMを頂けるとありがたいです。

参照→https://railstutorial.jp/chapters/advanced_login?version=5.1#sec-remember_me

cookiesを使うメリット

railsにはあらかじめsession機能があり、ハッシュsessionにuser_idとして受け取り、DBに格納する事で、ログイン機能を実現している。だが、あくまでこのsessionはサーバー側にuser_idをパラメーターとして受け取り、DBに予め保存されているUser_idとの認証を行い、ログイン機能として実現されているので、ブラウザ側を閉じてしまうと、これまでsessionに格納されていたUser_idは、消去されて、ログイン状態を保持する事が出来ないようになっている。これでは、User側に何度も認証の作業を行わせる事になる。cookiesではこのようなジレンマを解決してくれる。ただ、一つ問題として挙げられるのは、sessionでは、自動的にUser_idは暗号化され、セキュアーになっているのだが、cookiesでは、User_idを暗号化して、保存させなければならない。非常にアンセキュアーなので、ここでは、GemであるBcryptを使って、暗号化を測る事にしている。

cookiesに関連した必要な要件の洗い出し

前提→cookiesには、User_idと紐づいた記憶トークンを発行してそのトークンをcookiesとDBに保存させる。
1.記憶トークンをランダムに生成した文字列として発行する。
2.生成したトークンをDBに保存する際は、User_idと関連づけて、ハッシュ化して保存する。
3.cookiesにトークンを保存する時は、有効期限を設定する。
4.cookiesにトークンを保存する時はハッシュ化して保存する。
5.ユーザーIDが保存されたcookiesを受け取ったら、そのユーザーIDを使って、DBから引っ張ってきて、DBでハッシュ化されているトークンとcookiesに保存されているトークンを照合する。

機能実装

まずは、DBの設定を行います。記憶トークンをハッシュ化して保存するためのカラムを作成します。

rails g migration add_columns_remember_digest_to_users

その後、生成したマイグレーションファイルで、カラムを追加する処理を書きます。

db/migrate/[timestamp]_add_remember_digest_to_users.rb

 class AddRememberDigestToUsers < ActiveRecord::Migration[5.0]
  def change
   add_columns :users,:remember_digest,:string
  end
 end

DBの設定を以上にして、1~5を実装していきます。

app/models/user.rb

 class User < ApplicationRecord
  before_save { self.email = email.downcase }
   validates :name,  presence: true, length: { maximum: 50 }
   VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
   validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
   has_secure_password
   validates :password, presence: true, length: { minimum: 6 }
  #以上はmodelのvalidate

  #引数として渡された値をハッシュ化する
  def User.digest(string)
   cost=ActiveModel::SecurePassword.min_cost? 
   Bcrypto::Engine::MIN_COST:BCrypto::Engine.cost
   BCrypto::Password.create(string, cost: cost)
  end

#ランダムなトークンを返す
  def User.new_token
   SecureRandom::ulsafe_base64
  end
 end

上記のUser.new_tokenでSecureRandomはrailsで予め実装されている機能で、ulsafe_base64というメソッドでランダムな文字列を返してくれます。
これにより、1をクリアしました。

では、次に2を実装します。この2番の機能がremember機能となります。つまり、DBにUser_idと関連づけた
記憶トークンを保存する事で、ブラウザがトークンと関連づいているUser_idを保持しているという事を認識して、ブラウザを閉じた後も、User_idを記憶してくれますので、、ログインの認証手続き後もログイン状態が保持できる仕組みを実現できます。

app/models/user.rb

 User < ApplicationRecord
  attr_accessor:remember_token
 ・
 ・
 ・
  def remember
   self.remember_token = User.new_token
   update_attribute(:remember_digest,User.digest(remember_token))
  end
 end

rememberメソッド定義時に、使われているselfは、rememberメソッドを呼び出した際のレシーバーを参照する事ができるようになります。これにより、User.rememberという感じで呼び出す事ができて、呼び出した際には、User_idと関連付けつつ、発行したトークンを暗号化してDBに保存され、remember機能が出来ちゃうというわけです。
ちなみにupdate_attributeは、userモデルの情報をアップデートします。
attr_accessor:remember_tokenとする事で、remember_tokenという変数をクラスの外部、内部から参照したり、更新する事ができます。これにより、rememberメソッド定義時にも、remember_tokenを更新する事ができるようになります。
           

次に、3.4.5の流れつまり、ログインをブラウザが認識させるためにcookiesにハッシュ化したUser_idを保存していきます。
ここから分かりづらくなるので、予め実装の流れを説明していきます。

・User_idをハッシュ化してcookiesに保存するメソッドをヘルパーメソッドのファイルで定義して、コントローラー側で呼び出します。その際に、先ほど定義したrememberメソッドも使う事により、一気に、User_idをトークンに紐づけて、ハッシュ化しDBに保存して、かつ、cookiesにUser_idを保存する事でcookiesにそのUser_idと紐づいているトークンとUser_idを保存するまでを書く事で完成します。

・有効期限を指定する処理も書きます。

・app/model/user.rbでcookiesのトークンとDBのトークンを照合する処理を書きます。

では、書きます。

 app/helpers/session_helper.rb

 module SessionHelper
   def log_in(user)
     session[user_id]=user.id
   end

   def remember(user)
      user.remember #Userクラス(User.rb)で定義したrememberメソッド
    cookies.permanent.signed[user_id]=user.id
      cookies.permanent[:remember_token]=user.remember_token
   end

   def current_user
     @current_user||=User.find_by(id:session[user_id])
   end

  def logged_in?
     !current_user.nil?
  end

  def log_out
    session.delete(:user_id)
    @current_user=nil
  end
 end

remember(user)では、前もって説明した通り、引数をuserモデルで取る、rememberメソッドを定義しています。これは、先ほどUserクラスで定義した、レシーバーをuserモデルで取る、rememberメソッドを使って、ヘルパーメソッドでトークンを発行から、Userと関連つけて、DBにトークンを暗号化して保存するまでの処理を1行でできるようにしました。また、その後の、cookies.permanent.singedでuser_idをcookiesに保存していますが、これは有効期限を定めるためのpermanentと、user_idを暗号化するためのsingedです。user_idと同じように、トークンもremember_tokenとして保存しています。ここで、先ほどのattr_accessorが生きてきます。別のモジュール内でも、remember_tokenを参照する事ができるからです。

では、remember機能が完成しましたので、これをcontrollerで呼び出して見ましょう。

app/controller/session_controller.rb

class SessionController < ApplicationController
 def new
 end

 def create
   user=User.find_by(email:params[:session][:email].downcase)
   if user & user.authenticate(params[:session][:password])
     log_in user
     remember user
     redirected_to user
   else
     flash.now[:danger] = "invalid email/password combination"
     render "new"
  end

 def destroy
  log_out
  redirected_to root_url
 end
end

これでremember me機能が完成しました。非常に長くなりそうなので、とりあえず今日は、ここまでで。
次は、rspecについて書いていきたいと思います。

twitter →https://twitter.com/FujisawaRyohei

是非Followのほどよろしくお願いします。

4
6
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
6