Udemy 12. サーバーサイドのログイン認証 #03
2020年10月01日に公開

【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成

今回達成すること

JWT(以下、トークン)の発行とデコードを行う、AuthTokenクラスを作成します。

このクラスはインスタンスが生成された時(newされた時)

  • 引数にトークンがあった場合はトークンをデコードし、
  • トークンが無い場合はトークンを発行します。

クラスファイルの置き場所

まず、Railsの「app」ディレクトリの直下に「services(サービィシーズ)」ディレクトリを作成します。

「services」ディレクトリの中は、サービス単位でディレクトリを作成します。

今回は認証サービスを行う、「user_auth」ディレクトリを作成し、認証に使用するファイル一式を管理します。

ディレクトリ構造
api/app
├── services
│   └── user_auth
│       └── 認証に関わるファイルを管理
...

AuthTokenのクラスファイルを作成する

「services/user_auth」ディレクトリと、AuthTokenクラスを扱うauth_token.rbを作成しましょう。

root $ mkdir -p api/app/services/user_auth && touch $_/auth_token.rb

UserAuthを継承したクラスを宣言する

gem jwtを読み込み、前回作成したUserAuthモジュールを継承したクラスを宣言します。

api/app/services/user_auth/auth_token.rb
require 'jwt'

module UserAuth
  class AuthToken
  end
end

Zeitwerkの仕様に合ったクラスの宣言を

Rails6から導入されたオートロードシステムの「Zeitwerk(ツァイトベルク)」の仕様で、ファイルパスと一致するクラスを宣言しないと正しく読み込まれません。

つまり、

  • 「servicers」以下のファイルパス =>「user_auth/auth_token.rb」と
  • クラスの宣言 => UserAuth::AuthToken

一致させる必要があります。

何も継承しないクラスを宣言する場合は、

  • 「services」ディレクトリ直下にauth_token.rbを作成し、
  • その中でAuthTokenクラスを宣言すればOKです。

初期化時のアクションを作成する

AuthTokenクラスのインスタンスが生成された時(newされた時)のアクションを作成しましょう。

api/app/services/user_auth/auth_token.rb
require 'jwt'

module UserAuth
  class AuthToken
    # 追加
    attr_reader :token
    attr_reader :payload
    attr_reader :lifetime

    def initialize(lifetime: nil, payload: {}, token: nil, options: {})
      if token.present?
        @payload, _ = JWT.decode(token.to_s, decode_key, true, decode_options.merge(options))
        @token = token
      else
        @lifetime = lifetime || UserAuth.token_lifetime
        @payload = claims.merge(payload)
        @token = JWT.encode(@payload, secret_key, algorithm, header_fields)
      end
    end
    # ここまで
  end
end
  • attr_reader … 読み取り専用のアクセサ。

    インスタンス生成時に値を指定し、以後読み取り専用となります。

    主に、インスタンス変数の値を変えたくない場合に使用します。

  • initialize … インスタンス生成時には4つの引数を持ちます。

    • lifetime … トークンの有効期限を指定します。デフォルトは2週間。

    • payload … トークンに埋め込む情報をハッシュで指定します。

    • token … トークンを指定します。

    • options … トークンの追加オプションを指定します。

      デフォルトオプションは下記URLをご覧ください。

      Module: JWT::DefaultOptions

  • _JWT.decodeを実行すると、payloadとヘッダーが入った配列が返されます。

    => [ {<payload>}, {<header>} ]

    1番目のpayloadはインスタンス変数に代入し、2番目のヘッダーはアンダーバーに代入されます。

    Rubyではアンダーバーも変数名として扱うので、_にはヘッダーの値が入っています。

    ちなみに、アンダーバーを指定しない、@payload, = JWT.decodeの書き方でも同じ動きをします。

    参考 Is it good practice having local variables starting with underscore? - StackOverflow

エンコード・デコード時の初期値を作成する

プライベートメソッドに、トークンエンコードとデコード時の初期値を作成します。

キーを追加する

デコードキーが無い場合はエンコードキーを指定するようにしています。

api/app/services/user_auth/auth_token.rb(以下、省略)
require 'jwt'

module UserAuth
  class AuthToken
    ...

    # 以下、追加
    private

      # エンコードキー(config/initializers/user_auth.rb)
      def secret_key
        UserAuth.token_secret_signature_key.call
      end

      # デコードキー(config/initializers/user_auth.rb)
      def decode_key
        UserAuth.token_public_key || secret_key
      end
  end
end

アルゴリズムを追加する

user_auth.rbで"HS256"を指定しています。

      ...
      # デコードキー(config/initializers/user_auth.rb)
      def decode_key
        UserAuth.token_public_key || secret_key
      end

      # 以下、追加

      # アルゴリズム(config/initializers/user_auth.rb)
      def algorithm
        UserAuth.token_signature_algorithm
      end
  end
end

オーディエンスを追加する

  • verify_audience? は、user_auth.rbtoken_audienceに値がある場合にtrueを返します。
  • token_audienceは、その値を返します。
    ...
    # アルゴリズム(config/initializers/user_auth.rb)
      def algorithm
        UserAuth.token_signature_algorithm
      end

      # 以下、追加

      # オーディエンスの値がある場合にtrueを返す
      def verify_audience?
        UserAuth.token_audience.present?
      end

      # オーディエンス(config/initializers/user_auth.rb)
      def token_audience
        verify_audience? && UserAuth.token_audience.call
      end
  end
end

トークン有効期限を秒数に変換する

インスタンス変数の@lifetimeには、

  • 有効期限の指定があった場合はその値を、
  • 指定がない場合はデフォルトの2週間を代入します。

from_nowは、有効期限経過後の日時を返し、to_i で秒数に変換しています。

      ...
      # オーディエンス(config/initializers/user_auth.rb)
      def token_audience
        verify_audience? && UserAuth.token_audience.call
      end

      # 以下、追加

      # トークン有効期限を秒数で返す
      def token_lifetime
        @lifetime.from_now.to_i
      end
  end
end

デコード時のオプションを指定する

decode_optionsは、デコード時のデフォルトオプションの値を返します。

オプションのverify_audtrueの場合、

  • エンコード時のaud の値と
  • デコード時のaudの値が

一致していないとエラーとなり、無効なトークンと判断されます。

参考 Audience Claim - ruby-jwt

      ...
      # トークン有効期限を秒数で返す
      def token_lifetime
        @lifetime.from_now.to_i
      end

      # 以下、追加

      # デコード時オプション
      # default: https://www.rubydoc.info/github/jwt/ruby-jwt/master/JWT/DefaultOptions
      def decode_options
        {
          aud: token_audience,
          verify_aud: verify_audience?,
          algorithm: algorithm
        }
      end
  end
end

この実装は、payloadにオーディエンスの値が含まれることを担保するだけで、セキュリティを高くするものではありません。

当初、リクエスト先のURLをRailsで取得し、payloadのオーディエンスに含める実装を考えましたが、トークンは誰でも偽造できるため意味のないセキュリティだと判断しました。

JWTのセキュリティは、署名鍵と有効期限をどう実装するかで決まります。

クレームを指定する

payloadに含める値をクレームと言います。

クレームには、デフォルトで

  • 有効期限(expiration/エクスパレイション)と、
  • 受信者(audience/オーディエンス)の値を含めています。

追加クレームは、インスタンス生成時に引数で指定します。

      ...
      # デコード時オプション
      # default: https://www.rubydoc.info/github/jwt/ruby-jwt/master/JWT/DefaultOptions
      def decode_options
        {
          aud: token_audience,
          verify_aud: verify_audience?,
          algorithm: algorithm
        }
      end

      # 以下、追加

      # デフォルトクレーム
      def claims
        _claims = {}
        _claims[:exp] = token_lifetime
        _claims[:aud] = token_audience if verify_audience?
        _claims
      end
  end
end
  • _claims … アンダーバーから始まる変数は、ローカル変数であることを明示的にする書き方です。

    必須のルールではありません。

    参考 stackoverrun

エンコード時のヘッダーオプションを指定する

typは、ヘッダーオプションの追加方法を説明するだけのもので、無くても大丈夫です。

通常、オブジェクトが JWTであることが既に分かっている場合には、アプリケーションではこの値を使用しません。

引用: JSON Web Token

      ...
      # デフォルトクレーム
      def claims
        _claims = {}
        _claims[:exp] = token_lifetime
        _claims[:aud] = token_audience if verify_audience?
        _claims
      end

      # 以下、追加

      # エンコード時のヘッダー
      # Doc: https://openid-foundation-japan.github.io/draft-ietf-oauth-json-web-token-11.ja.html#typHdrDef
      def header_fields
        { typ: "JWT" }
      end
  end
end

以上で準備が整いました。

実際にコンソールで確認してみましょう。

JWTを発行する

Railsコンソールに入ります。

root $ docker-compose run --rm api rails c

JWTを発行するには、AUthTokenクラスのインスタンスを生成します。

> token = UserAuth::AuthToken.new.token
> token
=>"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MDEyMTIyNTIsImF1ZCI6ImxvY2FsaG9zdDo4MDgwIn0.Vy7RCxQ5hyicZ6GekTgUUKuaKLG5p5Rzm8Sg6_-zRDA"

JWTが発行できました。

コピーしてjwt.ioのデバッガーにペーストしてみましょう。

2020-09-13 23-13-23

ヘッダーの

  • typは「JWT」

payloadの

  • expは2週間、
  • audは「localhost:8080」

になっていることを確認してください。

実装が上手くいっている証拠です。

クレームを追加する

payloadのクレームを追加する場合は、インスタンス生成時にハッシュを渡します。

> token = UserAuth::AuthToken.new(payload: {sub: 1}).token

JWTをデコードする

デコードするには、インスタンス生成時の引数にJWTを渡します。

> UserAuth::AuthToken.new(token: token)

payloadを確認してみましょう。

> UserAuth::AuthToken.new(token: token).payload

=> {"exp"=>1601257279, "aud"=>"localhost:8080", "sub"=>1}

上で指定したsubの値が確認できますね。

これでJWTの発行と検証を行うAuthTokenクラスが作成できました。

コミットする

ここまでの変更をコミットしときましょう。

root $ cd api
api $ git add -A && git commit -m "add_auth_token.rb" && cd ..
root $

まとめ

今回はJWTを扱うAuthTokenクラスを作成しました。

今後は、このクラスを使ってJWTの発行と検証を行います。

  • JWTの基本設定は「initializers」のuser_auth.rb
  • 発行と検証は「services」のauth_token.rb

と覚えておきましょう。

次回は?

アプリの認証装置である、Authenticator(オーセンティケーター)モジュールを作成します。

このモジュールは、投げられたトークンを検証し、正しければユーザーを返し、不正なトークンは401unauthorized(アンオーソライズド)エラーを返します。

さてさて、次回をお楽しみに。

あなたの力になれること
私自身が独学でプログラミングを勉強してきたので、一人で学び続ける苦しみは痛いほど分かります。そこで、当時の私がこんなのあったら良いのにな、と思っていたサービスを立ち上げました。周りに質問できる人がいない、答えの調べ方が分からない、ここを聞きたいだけなのにスクールは高額すぎる...。そんな方に向けた単発・短期間メンターサービスを行っています。下のサービスへお進みください。
独学プログラマのサービス
次の記事はこちら
1. このカテゴリーの歩き方 #01
【お知らせ】UdemyでRails × Nuxt.jsの動画を公開することになりました
1. このカテゴリーの歩き方 #02
【随時更新】アプリケーション仕様書
1. このカテゴリーの歩き方 #03
【随時更新】このカテゴリーの歩き方
1. このカテゴリーの歩き方 #04
(Docker+Rails6+Nuxt.js+PostgreSQL)=>Heroku 環境構築~デプロイまでの手順書
2. Docker入門 #01
Docker for Macをインストールする手順
2. Docker入門 #02
分かるDocker解説。仮想環境・コンテナ・Dockerイメージ・Dockerfileとは何か?
2. Docker入門 #03
分かるDocker解説。DockerComposeとは何か?
3. Dockerを使ったRails+Nuxt.js環境構築 #01
【Docker+Rails6+Nuxt.js】今回作成するアプリの開発環境の全体像を知ろう
3. Dockerを使ったRails+Nuxt.js環境構築 #02
【MacOS】Homebrew経由でGitをインストールする方法
3. Dockerを使ったRails+Nuxt.js環境構築 #03
Rails6を動かすAlpineベースのDockerfileを作成する(AlpineLinuxとは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #04
Nuxt.jsを動かすAlpineベースのDockerfileを作成する(C.UTF-8とは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #05
.envファイルを使ったdocker-compose.ymlの環境変数設計
3. Dockerを使ったRails+Nuxt.js環境構築 #06
Rails6・Nuxt.js・PostgreSQLを動かすdocker-compose.ymlファイルを作成する
3. Dockerを使ったRails+Nuxt.js環境構築 #07
docker-compose.ymlを使ってRails6を構築する(PostgreSQLパスワード変更方法)
3. Dockerを使ったRails+Nuxt.js環境構築 #08
docker-compose.ymlを使ってNuxt.jsを構築する
4. 複数プロジェクトのGit管理 #01
複数プロジェクトで行うGit管理の全体像を理解しよう(Gitサブモジュール解説)
4. 複数プロジェクトのGit管理 #02
【Git】既存の子ディレクトリをサブモジュール管理に変更する手順
4. 複数プロジェクトのGit管理 #03
【GitHub】秘密鍵の生成・公開鍵を追加・SSH接続するまでを画像で分かりやすく
4. 複数プロジェクトのGit管理 #04
【GitHub】リモートリポジトリの追加・サブモジュールのリンク設定を行う
5. RailsAPI×Nuxt.js初めてのAPI通信 #01
【Rails6】"Hello" jsonを返すコントローラを作成する
5. RailsAPI×Nuxt.js初めてのAPI通信 #02
【Nxut.js】axiosの初期設定を行う(baseURL・browserBaseURLを解説)
5. RailsAPI×Nuxt.js初めてのAPI通信 #03
【Rails6】Gem rack-corsを導入してCORS設定を行う(オリジン・CORSとは何か)
6. Heroku.ymlを使ったDockerデプロイ #01
デプロイ準備。Herokuへ新規会員登録を行いHerokuCLIをインストールする
6. Heroku.ymlを使ったDockerデプロイ #02
heroku.yml解説編。Docker環境のRails6をHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #03
HerokuCLI-manifestのデプロイ解説編。Docker環境のRails6をHerokuにデプロイする(2/2)
6. Heroku.ymlを使ったDockerデプロイ #04
Dockerfile解説編。Docker環境のNuxt.jsをHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #05
デプロイ完結編。Docker環境のNuxt.jsをHerokuにデプロイする(2/2)
7. モデル開発事前準備 #01
【Rails6】application.rbの初期設定(タイムゾーン・I18n・Zeitwerk)
7. モデル開発事前準備 #02
【Rails6】モデル開発に必要なGemのインストールとHirb.enableの自動化
7. モデル開発事前準備 #03
【Docker+Rails】A server is already running. Check /tmp/pids/server.pidエラーの対応
7. モデル開発事前準備 #04
【Docker】<none>タグのイメージを一括削除する & Rails .gitignoreの編集
8. ユーザーモデル開発 #01
Railsユーザーモデル作成。テーブル設計・ユーザー認証設計を理解する
8. ユーザーモデル開発 #02
Railsユーザーモデルのバリデーション設定(has_secure_password解説)
8. ユーザーモデル開発 #03
Railsバリデーションエラーメッセージの日本語化(ja.yml設定方法)
8. ユーザーモデル開発 #04
EachValidatorクラスのカスタムバリデーション設定(Rails6/lib以下読込)
8. ユーザーモデル開発 #05
Rails環境ごとにSeedデータ切り替えるseeds.rbの書き方
8. ユーザーモデル開発 #06
Rails6から導入された並列テストを理解する
8. ユーザーモデル開発 #07
Railsユーザーモデルバリデーションテスティング(name/email/password)
8. ユーザーモデル開発 #08
Nuxt.jsからRailsのユーザーテーブルを取得しHerokuにデプロイする
9. Nuxt.jsフロント開発事前準備 #01
【Nuxt.js2.13超解説】バージョンアップ手順と6つの新機能+2つの変更点
9. Nuxt.jsフロント開発事前準備 #02
Docker AlpineベースのNode.js上で動くNuxt.jsにVuetifyを導入する
9. Nuxt.jsフロント開発事前準備 #03
VuetifyにカスタムCSSを導入してオリジナルブレイクポイントを作る
9. Nuxt.jsフロント開発事前準備 #04
Nuxt.jsにnuxt-i18nを導入して国際化に対応する
10. ログイン前のレイアウト構築 #01
Nuxt.jsのレイアウト・ページ・コンポーネントの役割を理解しよう
10. ログイン前のレイアウト構築 #02
Nuxt.js ウェルカムページを構成するコンポーネントファイル群を作成しよう(1/4)
10. ログイン前のレイアウト構築 #03
Nuxt.js ウェルカムページにアイキャッチ画像・アプリ名・メニューボタンを表示しよう(2/4)
10. ログイン前のレイアウト構築 #04
Nuxt.js addEventListenerでスクロールを検知しツールバーの色を変化させよう(3/4)
10. ログイン前のレイアウト構築 #05
Nuxt.js ウェルカムページをレスポンシブデザインに対応させよう(4/4)
10. ログイン前のレイアウト構築 #06
Nuxt.js 会員登録ページのレイアウトファイルを作成しよう(1/4)
10. ログイン前のレイアウト構築 #07
Nuxt.js 名前、メール、パスワードのコンポーネントファイルを作成しよう(2/4)
10. ログイン前のレイアウト構築 #08
Nuxt.js 親子コンポーネント間の双方向データバインディングを実装する(3/4)
10. ログイン前のレイアウト構築 #09
Nuxt.js Vuetifyのv-text-fieldを使った会員登録フォームのバリデーション設定(4/4)
10. ログイン前のレイアウト構築 #10
Nuxt.js ログインページ実装とHerokuデプロイまで(router. replaceとpushの違いとは)
11. ログイン後のレイアウト構築 #01
Nuxt.js ログイン後のツールバーを作成しよう(inject解説)
11. ログイン後のレイアウト構築 #02
Nuxt.js アカウントメニューページ・ログアウト機能を実装しよう(nuxt-child解説)
11. ログイン後のレイアウト構築 #03
Nuxt.js ログイン後のトップページにプロジェクト一覧を表示しよう
11. ログイン後のレイアウト構築 #04
Nuxt.js プロジェクトページにVuetifyのナビゲーションドロワーを追加しよう
11. ログイン後のレイアウト構築 #05
Nuxt.js paramsIDからプロジェクトを検索してVuexに保存しよう
12. サーバーサイドのログイン認証 #01
JWTとは何か?(ruby-jwtのインストール)
新着
12. サーバーサイドのログイン認証 #02
【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成
新着
12. サーバーサイドのログイン認証 #03
【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成
新着
12. サーバーサイドのログイン認証 #04
【Rails×JWT】 ログイン判定を行うAuthenticatorモジュールの作成
新着
12. サーバーサイドのログイン認証 #05
【Rails×JWT】UserクラスからJWTを扱うTokenizableモジュールの作成
新着
12. サーバーサイドのログイン認証 #06
【Rails×JWT】AuthTokenクラスとAuthenticatorモジュールをテストする
新着
12. サーバーサイドのログイン認証 #07
【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装
新着
12. サーバーサイドのログイン認証 #08
【Rails×JWT】ログインコントローラーのテストとHerokuデプロイ
新着
SPA開発
ブログ構築
小ネタ集