目的
PunditはRailsにおいて認可システムに必要なヘルパーなどを提供するgemです。
punditよりシンプルな認可機能アプリを作成します
Qiita:Pundit + Railsで認可の仕組みをシンプルに作るより引用
Punditというgemを使ってRailsに認可の仕組みを作ってみます。
認可というとcancancanが有名です。
cancancanはユーザに対して、どんなアクションが許可するかを定義するのに対して、
Punditではリソースに対して誰が許可されるのかを定義します。反対からの目線ですね。
cancancanがコントローラ寄りならば、Punditはモデル寄りの責務です。また、
cancancanがDSLなのに対し、PunditはピュアRubyな書き方になっています。
学習アプリに実装する機能
管理ユーザーのみユーザー詳細(user_show)閲覧可能。
管理ユーザー以外の場合はエラーページを表示(403)。
執筆時の対象Version
Rails:5.2.6
devise:4.8
pundit:2.1.1
実装方法
セットアップ:devise導入
terminal
# 新規アプリを作成
rails new pundit_sample2021
cd pudit_sample2021
Gemfile
# Gemfileに追加する
+ gem 'devise'
terminal
# gemをインストール
bundle install
# deviseをセットアップ
rails g devise:install
# deviseでUserモデルをセットアップ
rails g devise user
db/migrate/****_create_users.rb
# frozen_string_literal: true
class DeviseCreateUsers < ActiveRecord::Migration[5.2]
def change
create_table :users do |t|
---省略---
+ # roleカラムを追記
+ t.integer :role, default: 0
t.timestamps null: false
end
---省略---
app/models/user.rb
class User < ApplicationRecord
# Include default devise modules. Others available are:
# :confirmable, :lockable, :timeoutable, :trackable and :omniauthable
devise :database_authenticatable, :registerable,
:recoverable, :rememberable, :validatable
+ # roleを設定
+ enum role: { general: 0, admin: 1 }
end
db/seeds.rb
+ # ユーザーデータを作成
+ # 管理者ユーザー
+ User.create!(
+ email: "admin@admin.com",
+ password: "password",
+ password_confirmation: "password",
+ role: 1
+ )
+ # 一般ユーザー
+ User.create!(
+ email: "general@general.com",
+ password: "password",
+ password_confirmation: "password",
+ role: 0
+ )
terminal
# DB作成
rails db:create
# マイグレーションを実行
rails db:migrate
セットアップ:User_view・controllerを設定
teminal
# devise導入時にはindexとshowが設定されていないため、作成する。
rails generate controller Users index show
app/controllers/users_controller.rb
class UsersController < ApplicationController
def index
+ # Userの一覧を表示
+ @users = User.all
end
def show
+ # 個別のUserの情報を表示
+ @user = User.find(params[:id])
end
end
app/views/users/index.html.erb
+ <h1>All users</h1>
+ <% if current_user.present? %>
+ <p>現在ログインしているユーザー:<%= current_user.email %></p>
+ <%= link_to 'Sign_out', destroy_user_session_path, method: :delete %>
+ <% else %>
+ <%= link_to 'Sign_in', new_user_session_path %>
+ <% end %>
+ <ul class="users">
+ <% @users.each do |user| %>
+ <li>
+ <%= link_to user.email, user %>
+ </li>
+ <% end %>
+ </ul>
app/views/users/show.html.erb
+ <h1>My page</h1>
+ <p><%= @user.email %></p>
+ <h1>My Role</h1>
+ <p><%= @user.role %></p>
+ <%= link_to 'Back', users_path %>
config/routes.rb
Rails.application.routes.draw do
devise_for :users
+ root 'users#index'
+ resources :users, :only => [:index, :show]
end
Punditの導入
Gemfile
+ gem 'pundit'
terminal
# gemをインストール
bundle install
app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
+ # Punditを適用するcontrollerの継承元でincludeする。
+ include Pundit
end
# app/policies/配下にapplication_policy.rbというファイルが作成されます。
rails g pundit:install
app/policies/application_policy.rb
# frozen_string_literal: true
class ApplicationPolicy
attr_reader :user, :record
def initialize(user, record)
@user = user
@record = record
end
def index?
false
end
def show?
false
end
def create?
false
end
def new?
create?
end
def update?
false
end
def edit?
update?
end
def destroy?
false
end
class Scope
def initialize(user, scope)
@user = user
@scope = scope
end
def resolve
scope.all
end
private
attr_reader :user, :scope
end
end
PunditをUserに設定
app/policies/user_policy.rb
# userpolicy.rbを下記の内容にて新規に作成
# 基本的に全ての機能を許可。
# ただしユーザー詳細は管理ユーザーのみ許可
class UserPolicy < ApplicationPolicy
def index?
true
end
def show?
# ユーザー詳細は管理ユーザーのみ許可
user.admin?
end
def create?
true
end
def new?
create?
end
def update?
true
end
def edit?
update?
end
def destroy?
true
end
end
app/controllers/users_controller.rb
class UsersController < ApplicationController
def index
@users = User.all
end
def show
@user = User.find(params[:id])
+ # punditにてauthorizeメソッドにリソースオブジェクトを渡して認可状況を確認。
+ authorize @user
end
end
terminal
# サーバー起動して、管理ユーザー(admin@admin.com)がuser_showを閲覧可能であることを確認
# 一般ユーザー(general@general.com)ではエラーになることを確認
rails s
403を設定
config/environments/development.rb
# 下記をfalseへ変更
# Show full error reports.
+ config.consider_all_requests_local = false
- config.consider_all_requests_local = true
public/403.html
+ <!DOCTYPE html>
+ <html>
+ <head>
+ <title>権限がありません(401)</title>
+ <meta name="viewport" content="width=device-width,initial-scale=1">
+ </head>
+ <body>
+ <p>権限がありません。</p>
+ </body>
+ </html>
app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
include Pundit
+ rescue_from Pundit::NotAuthorizedError, with: :render_403
+ def render_403
+ render file: Rails.root.join('public/403.html'), status: :forbidden, layout: false, content_type: 'text/html'
+ end
end
terminal
# 一般ユーザー(general@general.com)では403ページへ遷移することを確認
rails s
参考サイト・資料
Github:Pundit_公式ドキュメント
Qiita:Pundit + Railsで認可の仕組みをシンプルに作る
Qiita:Punditをなるべくやさしく解説する
Qiita:Railsの認可Gem「Pundit」で、漏れのない認可設定を上手に作るTips
1434-193:Rails configのconsider_all_requests_localとは
Qiita:Railsで404エラーメッセージを出すために