Udemy 12. サーバーサイドのログイン認証 #02
2020年10月01日に公開

【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成

今回達成すること

今回は、ログイン認証の流れを理解し、JWTの実装に入ります。

JWTの初期設定ファイルを作成するところまでをゴールとしましょう。

ログイン認証機能の参考

ここで紹介するログイン機能は、RailsAPIでJWT認証が実装できるGem knockを参考にしています。

Knockは2016年から更新が止まっており、Rails6には対応しなくなりました。(非公式版は2020年も更新あり)

そこで今回は、Knockのコードを参考に1からログイン認証を手作りします。

JWTを使ったログイン認証の流れ

今回実装するログイン認証では、以下の手順で認証が行われます。

1. クライアントからログイン情報を投げる

まず初めにNuxt.jsからログインに必要な

  • メールアドレス
  • パスワード

をRailsに投げます。

jwt auth1

2. サーバーサイドでユーザーを検索する

Railsでは、メールアドレスとパスワードが一致するユーザーを検索します。

  • 存在する場合、

    JWTを発行しCookieに保存します。

  • 存在しない場合

    401エラーを返します。

jwt auth2 1

3. クライアントにJSONを返す

RailsからNuxt.jsに返すJSONは、

  • 有効期限と
  • ユーザーオブジェクトです。

JWTそのものはNuxt.jsに渡さず、Cookieに保存します。

jwt auth3

JWTの保存先

JWTの保存先には、ローカルストレージがよく挙げられますが、JavaScriptで簡単にアクセスできてしまいます。

認証に使用するJWTは、ログインメールアドレスとパスワードと同じ意味を持ちますので、外部のJavaScriptからアクセスできない場所に保管することが望ましいです。

そこで、今回の実装では、JWTをCookie(クッキー)に保存します。

参考 HTML5のLocal Storageを使ってはいけない(翻訳)

Cookieとは

Cookieとは、クライアント(ブラウザ)に保存される簡易なテキストファイルのことを言います。

サーバー(Rails)がクライアントに、一時的に情報を記録させるときに使用します。

httponlyオプション

httponlyは、HTTP通信でのみアクセスできるCookieを生成するためのオプションです。

このオプションを付けると、JavaScriptからのアクセスを完全に遮断することができ、サーバーサイドのRailsでしかアクセスできなくなります。

これにより、外部JavaScriptからのCookie盗聴を防ぎます。

Cookieでも万全ではないことを理解しておく

Cookieへの保存は、外部からの攻撃を完全に遮断できるわけではありません。

JavaScriptで参照できるローカルストレージよりはマシなだけであって、Cookieのhttponlyオプションは、あくまで最低限のセキュリティだとお考えください。

クロスサイト・スクリプティングなどの攻撃でCookieを絶対に取られなくなると誤解されてる方もいらっしゃいますが、javascriptなどから直接参照・操作はできませんが、Content-Length: 0やCRLFの挿入によりレスポンス分割攻撃(HTTP Response Splitting)が成立してしまうとやはりHttpOnly属性の設定ではCookieの送信は回避できません。”bypass httponly cookie”と調べると方法は出てきます。

引用: CookieのSecure属性/HttpOnly属性の指摘と修正方法と脆弱性の解説

4. クライアントでJSONを保存する

返されたユーザーは、Nuxt.jsのVuexに保存します。

保存したVuexのユーザーオブジェクトを、現在ログイン中のユーザーとして扱います。

有効期限はローカルストレージに保存します。

これは、ユーザーがサイトに訪問した際に、ログイン状態を維持するかの判定に使われます。

jwt auth4

5. ログイン状態の有効期限の判定

Vuexに保存したユーザーオブジェクトは、ブラウザをリロードするたびに初期化されます。

つまり、ユーザーは存在しなくなります。

そこで、

  • Nuxt.jsが初期化された直後に、
  • ローカルストレージに保存した有効期限内であれば、
  • Railsにユーザーを取得するようリクエストします。

Railsは、

  • Cookieに保存したJWTからユーザーを検索し、
  • Nuxt.jsに返します。

これにより、有効期限内であればログイン状態を維持することができます。

jwt auth5

JWTの初期設定ファイルを作成する

それでは実装に入りましょう。

「config/initializers(イニシャライザーズ)」ディレクトリ内にuser_auth.rbを作成します。

このファイルには、JWTを発行する初期値を設定する役目を持ちます。

root $ touch api/config/initializers/user_auth.rb

user_auth.rbUserAuthモジュールを宣言します。

api/config/initializers/user_auth.rb
module UserAuth
  # 必須
  mattr_accessor :token_lifetime
  self.token_lifetime = 2.week

  mattr_accessor :token_audience
  self.token_audience = -> {
    ENV["API_DOMAIN"]
  }

  mattr_accessor :token_signature_algorithm
  self.token_signature_algorithm = "HS256"

  mattr_accessor :token_secret_signature_key
  self.token_secret_signature_key = -> {
    Rails.application.credentials.secret_key_base
  }

  mattr_accessor :token_public_key
  self.token_public_key = nil

  mattr_accessor :token_access_key
  self.token_access_key = :access_token

  mattr_accessor :not_found_exception_class
  self.not_found_exception_class = ActiveRecord::RecordNotFound
end
  • mattr_accessor(モジュールアクセサ) … Rubyのattr_accessor(アトリビューアクセサ)を拡張した、Railsのモジュール用アクセサメソッド。

    ここで宣言したアクセサは、<モジュール名>.<アクセサ名>でアクセスすることができます。

    What is mattr_accessor in a Rails module? - StackOverflow

  • token_lifetime(トークン ライフタイム) … JWT有効期限のデフォルト値。

    2週間としています。トークンを盗まれても2週間後には無効になります。

    セキュリティを高めたい場合は、短い有効期限の方が良いでしょう。

    トークンは無期限とすることもできますが、今回の実装では有効期限を必須項目としています。

  • token_audience(トークン オーディエンス) … 受信者を識別する文字列を指定する。

    誰のために発行したか明確にするために、クライアントを識別する文字列、もしくはその文字列の入った配列を指定します。

    Auth0のような認証サービスではアプリケーションIDを指定しますが、一般的にはクライアントのドメインやURLを指定します。

    ここで指定した値は誰でも閲覧できます。機密情報は指定しないでください。

    参考 Audience Claim - ruby-jwt

    JWT 検証のトラブルシューティング - GoogleCloud

  • token_signature_algorithm(トークン シグネチャー アルゴリズム) … 署名アルゴリズムを指定する。

    アルゴリズムとは計算方法のことで、署名の検証方法を指定します。

    HS256とは、1つの鍵で署名と検証を行うアルゴリズムです。

    他には、秘密鍵と公開鍵のペアで検証するRS256などが指定できます。

    使用できるアルゴリズム一覧 JSON Web Algorithms

  • token_secret_signature_key(トークン シークレット シグネチャー キー) … 署名に使用する鍵を指定。

    Railsのシークレットキーを使用します。

    この秘密鍵で署名と検証を行います。

  • token_public_key(トークン パブリック キー) … 公開鍵を使用する場合はここに指定。

    署名アルゴリズムがHS256の場合は使用しません。

  • token_access_key(トークン アクセス キー) … Cookieに保存する際のオブジェクトキーを指定。

    CookieからJWTを取得する場合は、cookies[:access_token]となります。

  • :not_found_exception_class(ノット ファウンド エクセプション クラス) … ログインユーザーが見つからない場合のRailsの例外を指定する。

    ここの値はログインコントローラーの実装時に使用します。

コミットする

今回の実装は以上です。コミットしておきましょう。

root $ cd api
api $ git add -A && git commit -m "add_initializers_user_auth.rb"
api $ cd ..
root $

まとめ

今回は、ログイン認証の流れを把握し、JWTの初期設定ファイルを作成しました。

このファイルには、JWT認証全体で使用する値を指定します。

初期値を確認したり、新たに指定する場合は「initializers」ディレクトリのuser_auth.rbを編集する、と覚えておきましょう。

さて、次回は?

次回は、JWTの発行と検証を行うクラスファイルを作成します。

どうぞお楽しみに。(↓用意できています)

あなたの力になれること
私自身が独学でプログラミングを勉強してきたので、一人で学び続ける苦しみは痛いほど分かります。そこで、当時の私がこんなのあったら良いのにな、と思っていたサービスを立ち上げました。周りに質問できる人がいない、答えの調べ方が分からない、ここを聞きたいだけなのにスクールは高額すぎる...。そんな方に向けた単発・短期間メンターサービスを行っています。下のサービスへお進みください。
独学プログラマのサービス
次の記事はこちら
1. このカテゴリーの歩き方 #01
【お知らせ】UdemyでRails × Nuxt.jsの動画を公開することになりました
1. このカテゴリーの歩き方 #02
【随時更新】アプリケーション仕様書
1. このカテゴリーの歩き方 #03
【随時更新】このカテゴリーの歩き方
1. このカテゴリーの歩き方 #04
(Docker+Rails6+Nuxt.js+PostgreSQL)=>Heroku 環境構築~デプロイまでの手順書
2. Docker入門 #01
Docker for Macをインストールする手順
2. Docker入門 #02
分かるDocker解説。仮想環境・コンテナ・Dockerイメージ・Dockerfileとは何か?
2. Docker入門 #03
分かるDocker解説。DockerComposeとは何か?
3. Dockerを使ったRails+Nuxt.js環境構築 #01
【Docker+Rails6+Nuxt.js】今回作成するアプリの開発環境の全体像を知ろう
3. Dockerを使ったRails+Nuxt.js環境構築 #02
【MacOS】Homebrew経由でGitをインストールする方法
3. Dockerを使ったRails+Nuxt.js環境構築 #03
Rails6を動かすAlpineベースのDockerfileを作成する(AlpineLinuxとは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #04
Nuxt.jsを動かすAlpineベースのDockerfileを作成する(C.UTF-8とは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #05
.envファイルを使ったdocker-compose.ymlの環境変数設計
3. Dockerを使ったRails+Nuxt.js環境構築 #06
Rails6・Nuxt.js・PostgreSQLを動かすdocker-compose.ymlファイルを作成する
3. Dockerを使ったRails+Nuxt.js環境構築 #07
docker-compose.ymlを使ってRails6を構築する(PostgreSQLパスワード変更方法)
3. Dockerを使ったRails+Nuxt.js環境構築 #08
docker-compose.ymlを使ってNuxt.jsを構築する
4. 複数プロジェクトのGit管理 #01
複数プロジェクトで行うGit管理の全体像を理解しよう(Gitサブモジュール解説)
4. 複数プロジェクトのGit管理 #02
【Git】既存の子ディレクトリをサブモジュール管理に変更する手順
4. 複数プロジェクトのGit管理 #03
【GitHub】秘密鍵の生成・公開鍵を追加・SSH接続するまでを画像で分かりやすく
4. 複数プロジェクトのGit管理 #04
【GitHub】リモートリポジトリの追加・サブモジュールのリンク設定を行う
5. RailsAPI×Nuxt.js初めてのAPI通信 #01
【Rails6】"Hello" jsonを返すコントローラを作成する
5. RailsAPI×Nuxt.js初めてのAPI通信 #02
【Nxut.js】axiosの初期設定を行う(baseURL・browserBaseURLを解説)
5. RailsAPI×Nuxt.js初めてのAPI通信 #03
【Rails6】Gem rack-corsを導入してCORS設定を行う(オリジン・CORSとは何か)
6. Heroku.ymlを使ったDockerデプロイ #01
デプロイ準備。Herokuへ新規会員登録を行いHerokuCLIをインストールする
6. Heroku.ymlを使ったDockerデプロイ #02
heroku.yml解説編。Docker環境のRails6をHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #03
HerokuCLI-manifestのデプロイ解説編。Docker環境のRails6をHerokuにデプロイする(2/2)
6. Heroku.ymlを使ったDockerデプロイ #04
Dockerfile解説編。Docker環境のNuxt.jsをHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #05
デプロイ完結編。Docker環境のNuxt.jsをHerokuにデプロイする(2/2)
7. モデル開発事前準備 #01
【Rails6】application.rbの初期設定(タイムゾーン・I18n・Zeitwerk)
7. モデル開発事前準備 #02
【Rails6】モデル開発に必要なGemのインストールとHirb.enableの自動化
7. モデル開発事前準備 #03
【Docker+Rails】A server is already running. Check /tmp/pids/server.pidエラーの対応
7. モデル開発事前準備 #04
【Docker】<none>タグのイメージを一括削除する & Rails .gitignoreの編集
8. ユーザーモデル開発 #01
Railsユーザーモデル作成。テーブル設計・ユーザー認証設計を理解する
8. ユーザーモデル開発 #02
Railsユーザーモデルのバリデーション設定(has_secure_password解説)
8. ユーザーモデル開発 #03
Railsバリデーションエラーメッセージの日本語化(ja.yml設定方法)
8. ユーザーモデル開発 #04
EachValidatorクラスのカスタムバリデーション設定(Rails6/lib以下読込)
8. ユーザーモデル開発 #05
Rails環境ごとにSeedデータ切り替えるseeds.rbの書き方
8. ユーザーモデル開発 #06
Rails6から導入された並列テストを理解する
8. ユーザーモデル開発 #07
Railsユーザーモデルバリデーションテスティング(name/email/password)
8. ユーザーモデル開発 #08
Nuxt.jsからRailsのユーザーテーブルを取得しHerokuにデプロイする
9. Nuxt.jsフロント開発事前準備 #01
【Nuxt.js2.13超解説】バージョンアップ手順と6つの新機能+2つの変更点
9. Nuxt.jsフロント開発事前準備 #02
Docker AlpineベースのNode.js上で動くNuxt.jsにVuetifyを導入する
9. Nuxt.jsフロント開発事前準備 #03
VuetifyにカスタムCSSを導入してオリジナルブレイクポイントを作る
9. Nuxt.jsフロント開発事前準備 #04
Nuxt.jsにnuxt-i18nを導入して国際化に対応する
10. ログイン前のレイアウト構築 #01
Nuxt.jsのレイアウト・ページ・コンポーネントの役割を理解しよう
10. ログイン前のレイアウト構築 #02
Nuxt.js ウェルカムページを構成するコンポーネントファイル群を作成しよう(1/4)
10. ログイン前のレイアウト構築 #03
Nuxt.js ウェルカムページにアイキャッチ画像・アプリ名・メニューボタンを表示しよう(2/4)
10. ログイン前のレイアウト構築 #04
Nuxt.js addEventListenerでスクロールを検知しツールバーの色を変化させよう(3/4)
10. ログイン前のレイアウト構築 #05
Nuxt.js ウェルカムページをレスポンシブデザインに対応させよう(4/4)
10. ログイン前のレイアウト構築 #06
Nuxt.js 会員登録ページのレイアウトファイルを作成しよう(1/4)
10. ログイン前のレイアウト構築 #07
Nuxt.js 名前、メール、パスワードのコンポーネントファイルを作成しよう(2/4)
10. ログイン前のレイアウト構築 #08
Nuxt.js 親子コンポーネント間の双方向データバインディングを実装する(3/4)
10. ログイン前のレイアウト構築 #09
Nuxt.js Vuetifyのv-text-fieldを使った会員登録フォームのバリデーション設定(4/4)
10. ログイン前のレイアウト構築 #10
Nuxt.js ログインページ実装とHerokuデプロイまで(router. replaceとpushの違いとは)
11. ログイン後のレイアウト構築 #01
Nuxt.js ログイン後のツールバーを作成しよう(inject解説)
11. ログイン後のレイアウト構築 #02
Nuxt.js アカウントメニューページ・ログアウト機能を実装しよう(nuxt-child解説)
11. ログイン後のレイアウト構築 #03
Nuxt.js ログイン後のトップページにプロジェクト一覧を表示しよう
11. ログイン後のレイアウト構築 #04
Nuxt.js プロジェクトページにVuetifyのナビゲーションドロワーを追加しよう
11. ログイン後のレイアウト構築 #05
Nuxt.js paramsIDからプロジェクトを検索してVuexに保存しよう
12. サーバーサイドのログイン認証 #01
JWTとは何か?(ruby-jwtのインストール)
新着
12. サーバーサイドのログイン認証 #02
【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成
新着
12. サーバーサイドのログイン認証 #03
【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成
新着
12. サーバーサイドのログイン認証 #04
【Rails×JWT】 ログイン判定を行うAuthenticatorモジュールの作成
新着
12. サーバーサイドのログイン認証 #05
【Rails×JWT】UserクラスからJWTを扱うTokenizableモジュールの作成
新着
12. サーバーサイドのログイン認証 #06
【Rails×JWT】AuthTokenクラスとAuthenticatorモジュールをテストする
新着
12. サーバーサイドのログイン認証 #07
【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装
新着
12. サーバーサイドのログイン認証 #08
【Rails×JWT】ログインコントローラーのテストとHerokuデプロイ
新着
SPA開発
ブログ構築
小ネタ集