Ruby on RailsでWebサイト公開！に挑戦中

前回の設定のみだとユーザーIDが1のユーザーの編集画面のURLは、"http://localhost:3000/users/1/edit"ですが、URL内のユーザーIDに相当する部分を他のユーザーの番号にすると他のユーザーの編集画面を表示でき、変更することも出来てしまいます。

クッキーを使ってログイン中のユーザーを確認し、他のユーザーの情報を編集できないようにします。

●Usersコントローラに同一ログインユーザーかチェックするbeforeフィルター設定

$ vi app/controllers/users_controller.rb

class UsersController < ApplicationController
  before_action :correct_user,   only: [:edit, :update]
　　：
  def edit
  end

  def update
    @user = User.find(params[:id])
    if @user.update_attributes(user_params)
      redirect_to user_path
    else
      render 'edit'
    end
  end

  private
    def correct_user
      user = User.find(params[:id])
      current_user = User.find_by(remember_token: cookies[:remember_token])
      redirect_to login_users_path unless user == current_user
    end

●動作確認

ログイン後、下記URL部のユーザーIDを他のユーザーのIDを入力してアクセスすると、
http://localhost:3000/users/1/edit

他ユーザーの編集画面ではなく、ログインページにリダイレクトされる事を確認しました。

１）ルート設定確認

ユーザー編集のルートは下記のように設定しています。

$ rake routes
　　　：
edit_user GET /users/:id/edit(.:format) users#edit

２）ユーザーshowビューにの編集へのリンクを追加

$ vi app/views/users/show.html.erb

<% if signed_in? %>
  <%= @user.name %>さんログイン中
  <li><%= link_to "ユーザー情報編集", edit_user_path(@user) %></li>
  <%= link_to "ログアウト", logout_users_path, method: "delete" %>
<% end %>

３）Usersコントローラに"edit"アクション追加

ルート設定より、上記ユーザー編集リンクがクリックされるとUsersコントローラの"edit"アクションに制御が渡されます。

ユーザ編集リンクで渡されたユーザーのユーザーIDから該当ユーザーを検索し、@userインスタンス変数にセットします。

$ vi app/controllers/users_controller.rb

  def edit
    @user = User.find(params[:id])
  end

４）editビューを作成

Usersコントローラの"edit"アクションで定義した@userインスタンスを使ってユーザー編集フォームを作成します。

$ vi app/views/users/edit.html.erb

<h1>ユーザー情報編集</h1>

<div class="row">
  <%= form_for(@user) do |f| %>
    <%= f.label :名前 %>
    <%= f.text_field :name %>
    <%= f.label :メールアドレス %>
    <%= f.text_field :email %>
    <%= f.submit "保存", class: "btn btn-large btn-primary" %>
  <% end %>
</div>

５）Usersコントローラの"update"アクション修正

$ vi app/controllers/users_controller.rb

  def update
    @user = User.find(params[:id])
    if @user.update_attributes(user_params)
      redirect_to user_path
    else
      render 'edit'
    end
  end
  private
    def user_params
      params.require(:user).permit(:name, :email)
    end

６）ログイン中かチェック

クッキー内の情報を使ってユーザーがログイン中か確認するメソッドは、TestHelper内にsigned_in?メソッドとして定義中なので、Usersコントローラにインクルードします。

（TestHelper）
module TestHelper
  def signed_in?
    @user = User.find_by(remember_token: cookies[:remember_token])
    !@user.nil?
  end
end

（Usersコントローラ）
editアクションとupdateアクションに対し、ログイン済みかチェックするbeforeフィルターを定義

include TestHelper
before_action :signed_in_user, only: [:edit, :update]
  private
    def signed_in_user
      redirect_to login_users_path unless signed_in?
    end
end

これで、ログインしていないユーザーが編集用のURLにアクセスしても編集画面が表示されず、ログイン画面にリダイレクトされるようになります。

１）"users"のリソースルートに"logout"のルート追加

下記のように"resources"に"collection"を指定して、"logout"のコレクションルートを追加します。

$ vi config/routes.rb

  resources :users do
    collection do
      get 'login'
      post 'auth'
      delete 'logout'
    end
  end

$ rake routes
      Prefix Verb   URI Pattern                 Controller#Action
 login_users GET    /users/login(.:format)      users#login
  auth_users POST   /users/auth(.:format)       users#auth
search_users GET    /users/search(.:format)     users#search
result_users POST   /users/result(.:format)     users#result
logout_users DELETE /users/logout(.:format)     users#logout
       users GET    /users(.:format)            users#index
             POST   /users(.:format)            users#create
    new_user GET    /users/new(.:format)        users#new
   edit_user GET    /users/:id/edit(.:format)   users#edit
        user GET    /users/:id(.:format)        users#show
             PATCH  /users/:id(.:format)        users#update
             PUT    /users/:id(.:format)        users#update
             DELETE /users/:id(.:format)        users#destroy

２）ビューにログアウトのリンク追加

<% if signed_in? %>
  <%= @user.name %>さんログイン中
  <%= link_to "ログアウト", logout_users_path, method: "delete" %>
<% end %>

３）コントローラにアクション追加

$ vi app/controllers/users_controller.rb

  def logout
    cookies.delete(:remember_token)
    redirect_to login_users_path
  end

Railsチュートリアルに、ヘルパーはRailsのビューに自動的にインクルードされ、ビューからアクセスする事ができると記載されていました。

Railsガイドでは、この当りの記述が見つからず、仕組みがよく分からなかったのでいろいろ試してみました。

●ログインビューを変更

signed_in?メソッドを使って、ログイン中か確認し、表示を切替えます。

<% if signed_in? %>
  <%= @user.name %>さんログイン中
<% else %>
  <h1>ログイン</h1>
  <div class="row">
    <%= form_for(:user, url: auth_users_path) do |f| %>
      <%= f.label :メールアドレス %>
      <%= f.text_field :email %>
      <%= f.submit "ログイン", class: "btn btn-large btn-primary" %>
    <% end %>
  </div>
<% end %>

１）users_helper.rbヘルパーにメソッドを定義

現在、usersコントローラを使用しているので、users_helper.rb内に定義してみました。

$ vi app/helpers/users_helper.rb

  def signed_in?
    @user = User.find_by(remember_token: cookies[:remember_token])
    !@user.nil?
  end
end

この定義によって意図した通りに動作しました。

２）app/helpers/ディレクトリ内の他のファイルに定義

試しにtest_helper.rbというファイルを作ってその中に定義してみました。

$ vi app/helpers/test_helper.rb

module TestHelper
  def signed_in?
    @user = User.find_by(remember_token: cookies[:remember_token])
    !@user.nil?
  end
end

この設定でも動作しました。特にファイル名やモジュール名は関係なく、このディレクトリ内にあればインクルードされるようです。

３）usersコントローラに定義

usersコントローラ内に同様に定義してみましたが、ビューからコントローラ内のメソッドにはアクセスできないようで"NoMethodError"が発生しました。

（１）セッション維持の仕組み

①userテーブルに"remember_token"というカラムを追加し、ログイン認証後にランダムトークンを生成し、データベースに保持しておく。

②上記ランダムトークンをクッキーに設定する。

③同一セッションの後続のページでは、ブラウザのクッキーからこのトークンを取り出し、データベース上で保存されているトークンと照合させる事によってユーザーを特定する事ができる。

（２）設定手順

１）データベースにbase64トークンを保存するカラムを追加

①base64トークンを保存する"remember_token"という名前のカラムをusersテーブルに追加します。

$ rails generate migration add_remember_token_to_users

②"remember_token"を定義し、インデックスを追加

$ vi db/migrate/20141201113639_add_remember_token_to_users.rb

class AddRememberTokenToUsers < ActiveRecord::Migration
  def change
    add_column :users, :remember_token, :string
    add_index  :users, :remember_token
  end
end

③マイグレーション実行

$ bundle exec rake db:migrate

（２）ユーザーを一意に識別するbase64トークン（remember_token）を生成する処理をUserモデルに定義

①SecureRandomモジュールにあるurlsafe_base64メソッドを使って生成

・Userモデルにnew_remember_tokenメソッドを定義します。

・new_remember_tokenメソッドは、ユーザーのインスタンスに対して動作する必要がないのでインスタンスではなく、Userクラスに属します。（クラスメソッド）

$ vi app/models/user.rb

class User < ActiveRecord::Base
  def User.new_remember_token
    SecureRandom.urlsafe_base64
  end

②railsコンソールで動作確認

2.0.0-p247 :004 > token=User.new_remember_token
=> "_JBOA・・・"
2.0.0-p247 :005 > token=User.new_remember_token
=> "yHwuhZ・・・K"

（３）コントローラに設定追加

１）処理内容

①ユーザーログイン成功
②Userモデルの"new_remember_token"メソッドを使ってremember_tokenを生成
③remember_tokenをブラウザのパーマネントクッキーに保存
④remember_tokenをデータベースに保存

２）コントローラに設定追加

$ vi app/controllers/users_controller.rb

  def show
    @user = User.find_by(remember_token: cookies[:remember_token])
  end
  def auth
    user = User.find_by(email: user_params[:email].downcase)
    if user
      remember_token = User.new_remember_token
      cookies.permanent[:remember_token] = remember_token
      user.update_attribute(:remember_token, remember_token)
      redirect_to user
    end
  end

（４）動作確認

http://localhost:3000/users/login にアクセス

ログイン成功後、ユーザー表示ページに遷移しました。

fidder2でhttpパケットをモニタするとクッキー内に下記が設定されていました。
remember_token=5JxAlY・・・


今回の方法ではユーザーログイン後にSecureRandom.urlsafe_base64を使ってランダムなトークンを生成してクッキーに設定しているので、クッキー内の情報を読まれてもユーザーIDが分かってしまうことはありません。