Udemy 12. サーバーサイドのログイン認証 #07
2020年10月01日に公開

【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装

今回達成すること

ログインコントローラーの役目を持つ、user_token_controller.rbを作成します。

ログインコントローラーの責務

ログインコントローラーは、Nuxt.jsからきたログイン情報を受け取り

jwt auth1

ユーザーを検索します。

jwt auth2 1

ユーザーが存在した場合はトークンを発行し、Cookieに保存します。

Nuxt.jsには有効期限のみを返します。

jwt auth3

今回はここまでの実装を行います。

user_tokenコントローラーを作成する

ログイン認証を行うuser_token_controller.rbを作成します。

root $ docker-compose run --rm api rails g controller Api::V1::UserToken

privateメソッド群を作成する

ログイン実行アクションの下準備で、privateメソッドを作成します。

privateメソッドでは、Nuxt.jsからのパラメーター受け取りと、ユーザーの検索を行います。

メールアドレスからアクティブなユーザーを探す

Nuxt.jsから渡されたメールアドレスからアクティブなユーザーを検索する、entityメソッドを追加します。

api/app/controllers/api/v1/user_token_controller.rb(以下、省略)
class Api::V1::UserTokenController < ApplicationController
	# 以下、追加
  private

    # メールアドレスからアクティブなユーザーを返す
    def entity
      @_entity ||= User.find_activated(auth_params[:email])
    end

    def auth_params
      params.require(:auth).permit(:email, :password)
    end
end

トークンを発行する

返されたユーザーIDを含むトークンを発行する、authメソッドを追加します。

class Api::V1::UserTokenController < ApplicationController

  private

    # 追加
    # トークンを発行する
    def auth
      @_auth ||= UserAuth::AuthToken.new(payload: { sub: entity.id })
    end
    ...
end

Cookieに保存するトークンを設定する

発行したトークンをCookieに保存するための設定を行います。

class Api::V1::UserTokenController < ApplicationController

  private

		# 追加
    # クッキーに保存するトークン
    def cookie_token
      {
        value: auth.token,
        expires: Time.at(auth.payload[:exp]),
        secure: Rails.env.production?,
        http_only: true
      }
    end
		...
end
  • value … Cookieの値。

  • expires(エクスパイアーズ) … Cookieの有効期限。

    ここの値を設定しないと、ブラウザを閉じた際にCookieは削除されます。

  • secure(セキュア)https通信でしかアクセスできないCookieとなる。

    本番環境のみ有効にしています。

  • http_only … JavaScriptからアクセスできないCookieとなる。

パスワード一致を検証する

ログインアクション前に実行するパスワード検証メソッド、authenticateを追加します。

class Api::V1::UserTokenController < ApplicationController

  private

  	# 追加
    # entityが存在しない、entityのパスワードが一致しない場合に404エラーを返す
    def authenticate
      unless entity.present? && entity.authenticate(auth_params[:password])
        raise UserAuth.not_found_exception_class
      end
    end
  	...

このメソッドは、

  • メールアドレスに一致するユーザーが居ない
  • パスワード一致しない

場合に、RecordNotFoundエラーを吐きます。

404のヘッダーレスポンスを返す

Rails側でRecordNotFoundエラーが発生した場合、Nuxt.jsは、「ユーザーが存在しません」などのトースターを表示するだけで、Railsが吐き出すエラー画面(HTML)は必要ありません。

RecordNotFoundをそのまま返した時のレスポンス

2020-09-24 19-50-13

そこでRecordNotFoundエラーを、ヘッダーレスポンスのみを返すメソッドに集約します。

class Api::V1::UserTokenController < ApplicationController
  # 追加
  rescue_from UserAuth.not_found_exception_class, with: :not_found

  private

		# 追加
    # NotFoundエラー発生時にヘッダーレスポンスのみを返す
    # status => Rack::Utils::SYMBOL_TO_STATUS_CODE
    def not_found
      head(:not_found)
    end
    ...
  • rescue_from エラークラス, with: :メソッド名 … 引数のエラーが発生した際に、処理をメソッドに委任する。

  • head() … 本文 (body) のない、ヘッダーのみのレスポンスを返す。

head(:not_found)にエラー処理を渡した時のレスポンス

2020-09-24 19-50-42

これで下準備ができました。

ログインアクションを作成する

ログイン処理は、createアクションで行います。

createアクションでは、

  1. Cookieをリセットする
  2. ユーザーを取得する
  3. トークンをCookieに保存する
  4. トークンのユーザーを返す

この4つを実行します。

api/app/controllers/api/v1/user_token_controller.rb
class Api::V1::UserTokenController < ApplicationController
  rescue_from UserAuth.not_found_exception_class, with: :not_found
  # 以下、追加
  before_action :delete_cookie
  before_action :authenticate, only: [:create]

  # login
  def create
    cookies[token_access_key] = cookie_token
    render json: {
      exp: auth.payload[:exp],
      user: entity.my_json
    }
  end

  private
  ...
  1. delete_cookieAuthenticatorモジュールのdelete_cookieメソッドが実行され、Cookieが削除されます。
  2. authenticateprivateメソッドが実行され、ユーザーを検索します。
  3. cookies[token_access_key] … トークンをCookieに保存します。
  4. render json: {} … 有効期限と、ユーザーをNuxt.jsに返します。

ログアウトアクションを作成する

ログアウトは、destroyアクションで行います。

destroyアクションでRailsが行うことは、Cookieを削除するだけです。

before_action :delete_cookieで削除されるので、リクエストが正しく通った時のレスポンスだけ返せばOKです。

api/app/controllers/api/v1/user_token_controller.rb
  ...
  # login
  def create
    cookies[token_access_key] = cookie_token
    render json: {
      exp: auth.payload[:exp],
      user: entity.my_json
    }
  end

  # 追加
  # logout
  def destroy
    head(:ok)
  end

  private
  ...

ルートを追加する

最後はcreatedestroyアクションへアクセスするルートをroutes.rbに追加しましょう。

api/config/routes.rb
Rails.application.routes.draw do
  namespace :api do
    namespace :v1 do
      # users
      resources :users, only:[] do
        get :current_user, action: :show, on: :collection
      end

      # 追加
      # login, logout
      resources :user_token, only: [:create] do
        delete :destroy, on: :collection
      end
      # ここまで
    end
  end
end

ログインコントローラーの実装は以上です。

コミットしとく

ここまでの変更をコミットしましょう。

root $ cd api
api $ git add -A && git commit -m "add_user_token_controller.rb" && cd ..
root $

まとめ

今回は、ログインアクションを実行するuser_token_controller.rbを作成しました。

サーバーサイドではCookieに保存したトークンを検証して、ログインを判定します。

クライアントではサーバーから返された有効期限をログイン判定に使用します。


これでログイン認証は完璧!ではありません。

今回実装した方法は、最低限のセキュリティを考慮したものであって、セキュリティを高ようと思えばもっと改善が必要です。(筆者はそこまでの知識を持ち合わせていない🤕 )

ただ、「セキュリティが高ければ高いほど良い」というものでもなく、そこには時間とお金がかかるので、アプリに適したセキュリティ対応を行う必要があります。

まずは「どんなアプリを作るか」を明確にして、「そのアプリのセキュリティはどの程度必要か」を考え、時間とお金を投資しましょう。

(そもそも、自分で実装せずAuth0のような外部サービスに任せるといった選択肢もありますので。)

次回予告

今回作成したuser_token_controller.rbのテストを行います。

次へ進みましょう。(↓)

あなたの力になれること
私自身が独学でプログラミングを勉強してきたので、一人で学び続ける苦しみは痛いほど分かります。そこで、当時の私がこんなのあったら良いのにな、と思っていたサービスを立ち上げました。周りに質問できる人がいない、答えの調べ方が分からない、ここを聞きたいだけなのにスクールは高額すぎる...。そんな方に向けた単発・短期間メンターサービスを行っています。下のサービスへお進みください。
独学プログラマのサービス
次の記事はこちら
1. このカテゴリーの歩き方 #01
【お知らせ】UdemyでRails × Nuxt.jsの動画を公開することになりました
1. このカテゴリーの歩き方 #02
【随時更新】アプリケーション仕様書
1. このカテゴリーの歩き方 #03
【随時更新】このカテゴリーの歩き方
1. このカテゴリーの歩き方 #04
(Docker+Rails6+Nuxt.js+PostgreSQL)=>Heroku 環境構築~デプロイまでの手順書
2. Docker入門 #01
Docker for Macをインストールする手順
2. Docker入門 #02
分かるDocker解説。仮想環境・コンテナ・Dockerイメージ・Dockerfileとは何か?
2. Docker入門 #03
分かるDocker解説。DockerComposeとは何か?
3. Dockerを使ったRails+Nuxt.js環境構築 #01
【Docker+Rails6+Nuxt.js】今回作成するアプリの開発環境の全体像を知ろう
3. Dockerを使ったRails+Nuxt.js環境構築 #02
【MacOS】Homebrew経由でGitをインストールする方法
3. Dockerを使ったRails+Nuxt.js環境構築 #03
Rails6を動かすAlpineベースのDockerfileを作成する(AlpineLinuxとは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #04
Nuxt.jsを動かすAlpineベースのDockerfileを作成する(C.UTF-8とは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #05
.envファイルを使ったdocker-compose.ymlの環境変数設計
3. Dockerを使ったRails+Nuxt.js環境構築 #06
Rails6・Nuxt.js・PostgreSQLを動かすdocker-compose.ymlファイルを作成する
3. Dockerを使ったRails+Nuxt.js環境構築 #07
docker-compose.ymlを使ってRails6を構築する(PostgreSQLパスワード変更方法)
3. Dockerを使ったRails+Nuxt.js環境構築 #08
docker-compose.ymlを使ってNuxt.jsを構築する
4. 複数プロジェクトのGit管理 #01
複数プロジェクトで行うGit管理の全体像を理解しよう(Gitサブモジュール解説)
4. 複数プロジェクトのGit管理 #02
【Git】既存の子ディレクトリをサブモジュール管理に変更する手順
4. 複数プロジェクトのGit管理 #03
【GitHub】秘密鍵の生成・公開鍵を追加・SSH接続するまでを画像で分かりやすく
4. 複数プロジェクトのGit管理 #04
【GitHub】リモートリポジトリの追加・サブモジュールのリンク設定を行う
5. RailsAPI×Nuxt.js初めてのAPI通信 #01
【Rails6】"Hello" jsonを返すコントローラを作成する
5. RailsAPI×Nuxt.js初めてのAPI通信 #02
【Nxut.js】axiosの初期設定を行う(baseURL・browserBaseURLを解説)
5. RailsAPI×Nuxt.js初めてのAPI通信 #03
【Rails6】Gem rack-corsを導入してCORS設定を行う(オリジン・CORSとは何か)
6. Heroku.ymlを使ったDockerデプロイ #01
デプロイ準備。Herokuへ新規会員登録を行いHerokuCLIをインストールする
6. Heroku.ymlを使ったDockerデプロイ #02
heroku.yml解説編。Docker環境のRails6をHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #03
HerokuCLI-manifestのデプロイ解説編。Docker環境のRails6をHerokuにデプロイする(2/2)
6. Heroku.ymlを使ったDockerデプロイ #04
Dockerfile解説編。Docker環境のNuxt.jsをHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #05
デプロイ完結編。Docker環境のNuxt.jsをHerokuにデプロイする(2/2)
7. モデル開発事前準備 #01
【Rails6】application.rbの初期設定(タイムゾーン・I18n・Zeitwerk)
7. モデル開発事前準備 #02
【Rails6】モデル開発に必要なGemのインストールとHirb.enableの自動化
7. モデル開発事前準備 #03
【Docker+Rails】A server is already running. Check /tmp/pids/server.pidエラーの対応
7. モデル開発事前準備 #04
【Docker】<none>タグのイメージを一括削除する & Rails .gitignoreの編集
8. ユーザーモデル開発 #01
Railsユーザーモデル作成。テーブル設計・ユーザー認証設計を理解する
8. ユーザーモデル開発 #02
Railsユーザーモデルのバリデーション設定(has_secure_password解説)
8. ユーザーモデル開発 #03
Railsバリデーションエラーメッセージの日本語化(ja.yml設定方法)
8. ユーザーモデル開発 #04
EachValidatorクラスのカスタムバリデーション設定(Rails6/lib以下読込)
8. ユーザーモデル開発 #05
Rails環境ごとにSeedデータ切り替えるseeds.rbの書き方
8. ユーザーモデル開発 #06
Rails6から導入された並列テストを理解する
8. ユーザーモデル開発 #07
Railsユーザーモデルバリデーションテスティング(name/email/password)
8. ユーザーモデル開発 #08
Nuxt.jsからRailsのユーザーテーブルを取得しHerokuにデプロイする
9. Nuxt.jsフロント開発事前準備 #01
【Nuxt.js2.13超解説】バージョンアップ手順と6つの新機能+2つの変更点
9. Nuxt.jsフロント開発事前準備 #02
Docker AlpineベースのNode.js上で動くNuxt.jsにVuetifyを導入する
9. Nuxt.jsフロント開発事前準備 #03
VuetifyにカスタムCSSを導入してオリジナルブレイクポイントを作る
9. Nuxt.jsフロント開発事前準備 #04
Nuxt.jsにnuxt-i18nを導入して国際化に対応する
10. ログイン前のレイアウト構築 #01
Nuxt.jsのレイアウト・ページ・コンポーネントの役割を理解しよう
10. ログイン前のレイアウト構築 #02
Nuxt.js ウェルカムページを構成するコンポーネントファイル群を作成しよう(1/4)
10. ログイン前のレイアウト構築 #03
Nuxt.js ウェルカムページにアイキャッチ画像・アプリ名・メニューボタンを表示しよう(2/4)
10. ログイン前のレイアウト構築 #04
Nuxt.js addEventListenerでスクロールを検知しツールバーの色を変化させよう(3/4)
10. ログイン前のレイアウト構築 #05
Nuxt.js ウェルカムページをレスポンシブデザインに対応させよう(4/4)
10. ログイン前のレイアウト構築 #06
Nuxt.js 会員登録ページのレイアウトファイルを作成しよう(1/4)
10. ログイン前のレイアウト構築 #07
Nuxt.js 名前、メール、パスワードのコンポーネントファイルを作成しよう(2/4)
10. ログイン前のレイアウト構築 #08
Nuxt.js 親子コンポーネント間の双方向データバインディングを実装する(3/4)
10. ログイン前のレイアウト構築 #09
Nuxt.js Vuetifyのv-text-fieldを使った会員登録フォームのバリデーション設定(4/4)
10. ログイン前のレイアウト構築 #10
Nuxt.js ログインページ実装とHerokuデプロイまで(router. replaceとpushの違いとは)
11. ログイン後のレイアウト構築 #01
Nuxt.js ログイン後のツールバーを作成しよう(inject解説)
11. ログイン後のレイアウト構築 #02
Nuxt.js アカウントメニューページ・ログアウト機能を実装しよう(nuxt-child解説)
11. ログイン後のレイアウト構築 #03
Nuxt.js ログイン後のトップページにプロジェクト一覧を表示しよう
11. ログイン後のレイアウト構築 #04
Nuxt.js プロジェクトページにVuetifyのナビゲーションドロワーを追加しよう
11. ログイン後のレイアウト構築 #05
Nuxt.js paramsIDからプロジェクトを検索してVuexに保存しよう
12. サーバーサイドのログイン認証 #01
JWTとは何か?(ruby-jwtのインストール)
新着
12. サーバーサイドのログイン認証 #02
【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成
新着
12. サーバーサイドのログイン認証 #03
【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成
新着
12. サーバーサイドのログイン認証 #04
【Rails×JWT】 ログイン判定を行うAuthenticatorモジュールの作成
新着
12. サーバーサイドのログイン認証 #05
【Rails×JWT】UserクラスからJWTを扱うTokenizableモジュールの作成
新着
12. サーバーサイドのログイン認証 #06
【Rails×JWT】AuthTokenクラスとAuthenticatorモジュールをテストする
新着
12. サーバーサイドのログイン認証 #07
【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装
新着
12. サーバーサイドのログイン認証 #08
【Rails×JWT】ログインコントローラーのテストとHerokuデプロイ
新着
SPA開発
ブログ構築
小ネタ集