Udemy 12. サーバーサイドのログイン認証 #01
2020年10月01日に公開

JWTとは何か?(ruby-jwtのインストール)

このチャプターで達成すること

チャプター「サーバーサイドのログイン認証」では、RailsにJWTを使ったログイン認証機能を実装します。

具体的には、ログイン時にJWTをCookieに保存し、アクセス時にはそのJWTが有効であるかを検証する機能です。

まずはJWTとはなんぞや?というところから見ていきましょう。

今回達成すること

今回はJWTをゼロから理解します。

RailsにGem jwtをインストールして、トークンの発行とトークンの検証を行います。

この記事を通して、JWTの使い方、メリット、注意点を理解していきましょう。

JWT認証とは?

JWT(ジョット)とは、「JSON Web Token(ジェイソン ウェブ トークン)」の略で、2つのパーティー間で情報を安全に送信するための方法です。

その実態は、JSONオブジェクトをエンコードした文字列で、この文字列をトークンと呼びます。

eyJhbGciOiJIUzI1NiJ9.
eyJleHAiOjE2MDA1OTY0MzEsInN1YiI6MSwibmFtZSI6InVzZXIwIn0.
lXcwASyLX5GEsMvPYDVhe0ovJj631fUiC0q2ojK-yK0

3つに分かれるトークン

JWTが発行したトークンは、ドットによって3つに分かれており、それぞれの情報を保持しています。

<ヘッダ>.<ペイロード>.<署名>

1. ヘッダ

最初の文字列をヘッダと呼びます。

ここにはトークンのタイプや、使用されている署名アルゴリズムの情報を持っています。

// エンコード => デコード
eyJhbGciOiJIUzI1NiJ9. 
=> { "alg": "HS256", "typ": "JWT" }

2. ペイロード

2番目の文字列をペイロードと呼び、任意の情報を指定することができます。

基本的には、このペイロードをカスタマイズしてユーザー認証に必要な情報を埋め込みます。

// エンコード => デコード
eyJleHAiOjE2MDA1OTY0MzEsInN1YiI6MSwibmFtZSI6InVzZXIwIn0. 
=> {"exp"=>1600596431, "sub"=>1, "name"=>"user0"}

また、このexpsubなどのそれぞれの値を「クレーム」と呼びます。

デフォルトで指定されている値を「予約クレーム」、使用者が任意に指定した値を「パブリッククレーム」と呼びます。

3. 署名

3番目の文字列には署名情報が入っています。

この署名は、トークンが変更されていないか確認するために使用されます。

// エンコード => デコード
lXcwASyLX5GEsMvPYDVhe0ovJj631fUiC0q2ojK-yK0
=> HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

参考 jwt.io

Railsにruby-jwtをインストールする

JWTを触って理解するために、Railsにruby-jwtをインストールします。

ブランチ切っとく

と、その前にこれからの作業のブランチを切っておきます。

root $ cd api
api $ git checkout -b 20200910_jwt_authentication
api $ git branch

* 20200910_jwt_authentication

ブランチが切れたらルートディレクトリに戻ります。

api $ cd ..

ruby-jwtのインストール

それではRailsにruby-jwtをインストールしましょう。

Gemfilejwtを追記してください。

Gemfile
...
# JWT Doc: https://github.com/jwt/ruby-jwt
gem 'jwt', '~> 2.2'

group :development, :test do
...

apiサービスをビルドします。

root $ docker-compose build api

インストールできたか確認しておきましょう。

root $ docker-compose run --rm api bundle info jwt

 * jwt (2.2.2)
 ...

Dockerダングリングイメージの削除

ビルドして新しいイメージができたので、ダングリングイメージを削除します。

ダングリング … 最新ではない、<none>タグのイメージ

root $ docker image prune -f

Deleted Images:
deleted: sha256:b2f4bcbefb2d6b3bf2bdc8dfc592fcdf6941b085d0e3c9e5d0925b6340b7422d
...

ダングリングイメージが削除されたか確認しておきましょう。

<none>タグのイメージが表示されなければ成功です。

root $ docker images

JWTを発行しよう

Railsコンソールに入って、実際にトークンを発行してみましょう。

root $ docker-compose run --rm api rails c

ペイロードの作成

まずは、任意の情報を埋め込むペイロードを作成します。

> payload = { sub: 1 }

sub (Subject) クレーム

JWTの主語となる主体の識別子で、予約クレームの一つ。

。。。ちょっと何言ってるかわけわかめですね。

直訳すると「件名・主題」で、一般的にはオブジェクトを識別する一意性の値を指定します。

ユーザーテーブルで言うと、ユーザーIDのことです。


このクレームは任意で、{ user_id: 1 }と言ったペイロードでも問題ありません。

ただし、他アプリケーションとの衝突を避けるために予約クレームを使用することが推奨されています。

予約クレーム一覧 予約クレーム名 - JWT

鍵の指定

トークン発行には、署名時に使用する鍵が必要です。

この鍵が漏れると、誰でもトークンの発行と検証ができるので、非公開鍵であるRailsのシークレットキーを使用します。

> secret_key = Rails.application.credentials.secret_key_base

JWTを発行する

準備ができたのでトークンを発行しましょう。

トークンの発行にはJWT.encodeメソッドを使います。

> token = JWT.encode(payload, secret_key)
> token
=> "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOjF9.ZY3-9YTmrTz8H0t22DkyGREF_IZCgFkNoMjzHSGN_8U"
  • JWT.encode(payload, key, algorithm = 'HS256', header_fields = {})

    • algorithm … 署名アルゴリズムの指定。

      デフォルトはHS256が指定されています。

    • header_fields … ヘッダーフィールド。

      ヘッダー部分に埋め込む情報を、ハッシュで指定します。

JWTをデコードする

発行したトークンの中身を確認するには、JWT.decodeメソッドを使用します。

> JWT.decode(token, secret_key)
=> [{"sub"=>1}, {"alg"=>"HS256"}]
  • JWT.decode(jwt, key, verify = true, options = {})

    • verify … バリデーションの有無。

      必ず、trueを指定してください。

      ここをfalseにした場合、トークンが改ざんされていてもエラーを出さず、デコードできてしまいます。

    • options … 追加オプションの指定。

      デフォルトのオプションは下記URLより確認できます。

      Module: JWT

JWTは何が良いのか?

ここからは「JWTって結局何が良いの?」と言う部分を説明します。

JWTの良いところ①

JWTの最大のメリットは、情報が改ざんできないことです。

トークンが正しいかを検証する際、署名アルゴリズム(計算式)と一致したトークンでなければエラーを出します。

例えば上記のトークンに"A"を足してみましょう。

> token += "A"

これをデコードした場合、エラーとなります。

> JWT.decode(token, secret_key)

=> JWT::VerificationError (Signature verification raised)

JWTの良いところ②

この仕組みを認証に使えば、ユーザーテーブルにトークンを一時的に保有するカラムを作成しなくて良くなります。

ユーザーテーブルが簡潔になりますね。

JWTの良いところ③

トークン発行時に電子署名を付与することができるので、署名をした鍵を持つものしかトークンを検証することができません。

鍵を持たないものが「トークンが正しい!」と判断することはできないのです。

新しいトークンを発行して、発行時と違う鍵でデコードしてみます。

> token = JWT.encode(payload, secret_key)
> key = "230sdjhviuhr8249492"
> JWT.decode(token, key)

=> JWT::VerificationError (Signature verification raised)

ご覧の通りエラーになります。

それでは鍵がない場合はどうでしょう。

> JWT.decode(token, nil)

=> JWT::DecodeError (No verification key available)

ありゃ、エラーですね。

このように、署名時に使用した鍵を使ってトークンをデコードしないとエラーになります。

つまり、鍵が漏洩しない限り、JWT検証装置が乗っ取られることはありません。


ちなみに、

  • 署名時に付けた鍵と同じ鍵を使って検証する署名アルゴリズムを「HS256」、
  • 秘密鍵と公開鍵のペアで検証する署名アルゴリズムを「RS256

と呼びます。

参考 RS256 と HS256 ってなにが違うの

アルゴリズム … 計算方法のこと。

JWTの注意点

トークンはエンコードされているだけで、暗号化はされていません。

トークンの中身はここ(jwt.io)で誰でも見ることができます。

漏れたらまずい個人情報(メールアドレスなど)はトークンに埋め込まないようにしましょう。

2020-09-07 19-59-15

JWTのまとめ

誰でも見れるけど、改ざんできないし、発行者しかデコードできないトークン、それがJWTです。

JWTが理解できる記事たち

JSON Web Token(JWT)の紹介とYahoo! JAPANにおけるJWTの活用

JSON Web Token の効用 - Qiita

次回は?

さて次回は、JWTのログイン認証の流れを理解し、JWTの実装に入ります。

(↓にあります)

あなたの力になれること
私自身が独学でプログラミングを勉強してきたので、一人で学び続ける苦しみは痛いほど分かります。そこで、当時の私がこんなのあったら良いのにな、と思っていたサービスを立ち上げました。周りに質問できる人がいない、答えの調べ方が分からない、ここを聞きたいだけなのにスクールは高額すぎる...。そんな方に向けた単発・短期間メンターサービスを行っています。下のサービスへお進みください。
独学プログラマのサービス
次の記事はこちら
1. このカテゴリーの歩き方 #01
【お知らせ】UdemyでRails × Nuxt.jsの動画を公開することになりました
1. このカテゴリーの歩き方 #02
【随時更新】アプリケーション仕様書
1. このカテゴリーの歩き方 #03
【随時更新】このカテゴリーの歩き方
1. このカテゴリーの歩き方 #04
(Docker+Rails6+Nuxt.js+PostgreSQL)=>Heroku 環境構築~デプロイまでの手順書
2. Docker入門 #01
Docker for Macをインストールする手順
2. Docker入門 #02
分かるDocker解説。仮想環境・コンテナ・Dockerイメージ・Dockerfileとは何か?
2. Docker入門 #03
分かるDocker解説。DockerComposeとは何か?
3. Dockerを使ったRails+Nuxt.js環境構築 #01
【Docker+Rails6+Nuxt.js】今回作成するアプリの開発環境の全体像を知ろう
3. Dockerを使ったRails+Nuxt.js環境構築 #02
【MacOS】Homebrew経由でGitをインストールする方法
3. Dockerを使ったRails+Nuxt.js環境構築 #03
Rails6を動かすAlpineベースのDockerfileを作成する(AlpineLinuxとは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #04
Nuxt.jsを動かすAlpineベースのDockerfileを作成する(C.UTF-8とは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #05
.envファイルを使ったdocker-compose.ymlの環境変数設計
3. Dockerを使ったRails+Nuxt.js環境構築 #06
Rails6・Nuxt.js・PostgreSQLを動かすdocker-compose.ymlファイルを作成する
3. Dockerを使ったRails+Nuxt.js環境構築 #07
docker-compose.ymlを使ってRails6を構築する(PostgreSQLパスワード変更方法)
3. Dockerを使ったRails+Nuxt.js環境構築 #08
docker-compose.ymlを使ってNuxt.jsを構築する
4. 複数プロジェクトのGit管理 #01
複数プロジェクトで行うGit管理の全体像を理解しよう(Gitサブモジュール解説)
4. 複数プロジェクトのGit管理 #02
【Git】既存の子ディレクトリをサブモジュール管理に変更する手順
4. 複数プロジェクトのGit管理 #03
【GitHub】秘密鍵の生成・公開鍵を追加・SSH接続するまでを画像で分かりやすく
4. 複数プロジェクトのGit管理 #04
【GitHub】リモートリポジトリの追加・サブモジュールのリンク設定を行う
5. RailsAPI×Nuxt.js初めてのAPI通信 #01
【Rails6】"Hello" jsonを返すコントローラを作成する
5. RailsAPI×Nuxt.js初めてのAPI通信 #02
【Nxut.js】axiosの初期設定を行う(baseURL・browserBaseURLを解説)
5. RailsAPI×Nuxt.js初めてのAPI通信 #03
【Rails6】Gem rack-corsを導入してCORS設定を行う(オリジン・CORSとは何か)
6. Heroku.ymlを使ったDockerデプロイ #01
デプロイ準備。Herokuへ新規会員登録を行いHerokuCLIをインストールする
6. Heroku.ymlを使ったDockerデプロイ #02
heroku.yml解説編。Docker環境のRails6をHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #03
HerokuCLI-manifestのデプロイ解説編。Docker環境のRails6をHerokuにデプロイする(2/2)
6. Heroku.ymlを使ったDockerデプロイ #04
Dockerfile解説編。Docker環境のNuxt.jsをHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #05
デプロイ完結編。Docker環境のNuxt.jsをHerokuにデプロイする(2/2)
7. モデル開発事前準備 #01
【Rails6】application.rbの初期設定(タイムゾーン・I18n・Zeitwerk)
7. モデル開発事前準備 #02
【Rails6】モデル開発に必要なGemのインストールとHirb.enableの自動化
7. モデル開発事前準備 #03
【Docker+Rails】A server is already running. Check /tmp/pids/server.pidエラーの対応
7. モデル開発事前準備 #04
【Docker】<none>タグのイメージを一括削除する & Rails .gitignoreの編集
8. ユーザーモデル開発 #01
Railsユーザーモデル作成。テーブル設計・ユーザー認証設計を理解する
8. ユーザーモデル開発 #02
Railsユーザーモデルのバリデーション設定(has_secure_password解説)
8. ユーザーモデル開発 #03
Railsバリデーションエラーメッセージの日本語化(ja.yml設定方法)
8. ユーザーモデル開発 #04
EachValidatorクラスのカスタムバリデーション設定(Rails6/lib以下読込)
8. ユーザーモデル開発 #05
Rails環境ごとにSeedデータ切り替えるseeds.rbの書き方
8. ユーザーモデル開発 #06
Rails6から導入された並列テストを理解する
8. ユーザーモデル開発 #07
Railsユーザーモデルバリデーションテスティング(name/email/password)
8. ユーザーモデル開発 #08
Nuxt.jsからRailsのユーザーテーブルを取得しHerokuにデプロイする
9. Nuxt.jsフロント開発事前準備 #01
【Nuxt.js2.13超解説】バージョンアップ手順と6つの新機能+2つの変更点
9. Nuxt.jsフロント開発事前準備 #02
Docker AlpineベースのNode.js上で動くNuxt.jsにVuetifyを導入する
9. Nuxt.jsフロント開発事前準備 #03
VuetifyにカスタムCSSを導入してオリジナルブレイクポイントを作る
9. Nuxt.jsフロント開発事前準備 #04
Nuxt.jsにnuxt-i18nを導入して国際化に対応する
10. ログイン前のレイアウト構築 #01
Nuxt.jsのレイアウト・ページ・コンポーネントの役割を理解しよう
10. ログイン前のレイアウト構築 #02
Nuxt.js ウェルカムページを構成するコンポーネントファイル群を作成しよう(1/4)
10. ログイン前のレイアウト構築 #03
Nuxt.js ウェルカムページにアイキャッチ画像・アプリ名・メニューボタンを表示しよう(2/4)
10. ログイン前のレイアウト構築 #04
Nuxt.js addEventListenerでスクロールを検知しツールバーの色を変化させよう(3/4)
10. ログイン前のレイアウト構築 #05
Nuxt.js ウェルカムページをレスポンシブデザインに対応させよう(4/4)
10. ログイン前のレイアウト構築 #06
Nuxt.js 会員登録ページのレイアウトファイルを作成しよう(1/4)
10. ログイン前のレイアウト構築 #07
Nuxt.js 名前、メール、パスワードのコンポーネントファイルを作成しよう(2/4)
10. ログイン前のレイアウト構築 #08
Nuxt.js 親子コンポーネント間の双方向データバインディングを実装する(3/4)
10. ログイン前のレイアウト構築 #09
Nuxt.js Vuetifyのv-text-fieldを使った会員登録フォームのバリデーション設定(4/4)
10. ログイン前のレイアウト構築 #10
Nuxt.js ログインページ実装とHerokuデプロイまで(router. replaceとpushの違いとは)
11. ログイン後のレイアウト構築 #01
Nuxt.js ログイン後のツールバーを作成しよう(inject解説)
11. ログイン後のレイアウト構築 #02
Nuxt.js アカウントメニューページ・ログアウト機能を実装しよう(nuxt-child解説)
11. ログイン後のレイアウト構築 #03
Nuxt.js ログイン後のトップページにプロジェクト一覧を表示しよう
11. ログイン後のレイアウト構築 #04
Nuxt.js プロジェクトページにVuetifyのナビゲーションドロワーを追加しよう
11. ログイン後のレイアウト構築 #05
Nuxt.js paramsIDからプロジェクトを検索してVuexに保存しよう
12. サーバーサイドのログイン認証 #01
JWTとは何か?(ruby-jwtのインストール)
新着
12. サーバーサイドのログイン認証 #02
【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成
新着
12. サーバーサイドのログイン認証 #03
【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成
新着
12. サーバーサイドのログイン認証 #04
【Rails×JWT】 ログイン判定を行うAuthenticatorモジュールの作成
新着
12. サーバーサイドのログイン認証 #05
【Rails×JWT】UserクラスからJWTを扱うTokenizableモジュールの作成
新着
12. サーバーサイドのログイン認証 #06
【Rails×JWT】AuthTokenクラスとAuthenticatorモジュールをテストする
新着
12. サーバーサイドのログイン認証 #07
【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装
新着
12. サーバーサイドのログイン認証 #08
【Rails×JWT】ログインコントローラーのテストとHerokuデプロイ
新着
SPA開発
ブログ構築
小ネタ集