Ruby on RailsでWebサイト公開！に挑戦中

Railsチュートリアルに、ヘルパーはRailsのビューに自動的にインクルードされ、ビューからアクセスする事ができると記載されていました。

Railsガイドでは、この当りの記述が見つからず、仕組みがよく分からなかったのでいろいろ試してみました。

●ログインビューを変更

signed_in?メソッドを使って、ログイン中か確認し、表示を切替えます。

<% if signed_in? %>
  <%= @user.name %>さんログイン中
<% else %>
  <h1>ログイン</h1>
  <div class="row">
    <%= form_for(:user, url: auth_users_path) do |f| %>
      <%= f.label :メールアドレス %>
      <%= f.text_field :email %>
      <%= f.submit "ログイン", class: "btn btn-large btn-primary" %>
    <% end %>
  </div>
<% end %>

１）users_helper.rbヘルパーにメソッドを定義

現在、usersコントローラを使用しているので、users_helper.rb内に定義してみました。

$ vi app/helpers/users_helper.rb

  def signed_in?
    @user = User.find_by(remember_token: cookies[:remember_token])
    !@user.nil?
  end
end

この定義によって意図した通りに動作しました。

２）app/helpers/ディレクトリ内の他のファイルに定義

試しにtest_helper.rbというファイルを作ってその中に定義してみました。

$ vi app/helpers/test_helper.rb

module TestHelper
  def signed_in?
    @user = User.find_by(remember_token: cookies[:remember_token])
    !@user.nil?
  end
end

この設定でも動作しました。特にファイル名やモジュール名は関係なく、このディレクトリ内にあればインクルードされるようです。

３）usersコントローラに定義

usersコントローラ内に同様に定義してみましたが、ビューからコントローラ内のメソッドにはアクセスできないようで"NoMethodError"が発生しました。

（１）セッション維持の仕組み

①userテーブルに"remember_token"というカラムを追加し、ログイン認証後にランダムトークンを生成し、データベースに保持しておく。

②上記ランダムトークンをクッキーに設定する。

③同一セッションの後続のページでは、ブラウザのクッキーからこのトークンを取り出し、データベース上で保存されているトークンと照合させる事によってユーザーを特定する事ができる。

（２）設定手順

１）データベースにbase64トークンを保存するカラムを追加

①base64トークンを保存する"remember_token"という名前のカラムをusersテーブルに追加します。

$ rails generate migration add_remember_token_to_users

②"remember_token"を定義し、インデックスを追加

$ vi db/migrate/20141201113639_add_remember_token_to_users.rb

class AddRememberTokenToUsers < ActiveRecord::Migration
  def change
    add_column :users, :remember_token, :string
    add_index  :users, :remember_token
  end
end

③マイグレーション実行

$ bundle exec rake db:migrate

（２）ユーザーを一意に識別するbase64トークン（remember_token）を生成する処理をUserモデルに定義

①SecureRandomモジュールにあるurlsafe_base64メソッドを使って生成

・Userモデルにnew_remember_tokenメソッドを定義します。

・new_remember_tokenメソッドは、ユーザーのインスタンスに対して動作する必要がないのでインスタンスではなく、Userクラスに属します。（クラスメソッド）

$ vi app/models/user.rb

class User < ActiveRecord::Base
  def User.new_remember_token
    SecureRandom.urlsafe_base64
  end

②railsコンソールで動作確認

2.0.0-p247 :004 > token=User.new_remember_token
=> "_JBOA・・・"
2.0.0-p247 :005 > token=User.new_remember_token
=> "yHwuhZ・・・K"

（３）コントローラに設定追加

１）処理内容

①ユーザーログイン成功
②Userモデルの"new_remember_token"メソッドを使ってremember_tokenを生成
③remember_tokenをブラウザのパーマネントクッキーに保存
④remember_tokenをデータベースに保存

２）コントローラに設定追加

$ vi app/controllers/users_controller.rb

  def show
    @user = User.find_by(remember_token: cookies[:remember_token])
  end
  def auth
    user = User.find_by(email: user_params[:email].downcase)
    if user
      remember_token = User.new_remember_token
      cookies.permanent[:remember_token] = remember_token
      user.update_attribute(:remember_token, remember_token)
      redirect_to user
    end
  end

（４）動作確認

http://localhost:3000/users/login にアクセス

ログイン成功後、ユーザー表示ページに遷移しました。

fidder2でhttpパケットをモニタするとクッキー内に下記が設定されていました。
remember_token=5JxAlY・・・


今回の方法ではユーザーログイン後にSecureRandom.urlsafe_base64を使ってランダムなトークンを生成してクッキーに設定しているので、クッキー内の情報を読まれてもユーザーIDが分かってしまうことはありません。

Railsチュートリアルでは、base64トークンや暗号化したりしてクッキーに設定していましたが、まずは単純にクッキーにユーザーIDを設定するだけだとどうなるのか確認してみました。

１）コントローラでクッキーを使って認証維持

前回のsession[:user_id]の部分をcookies[:user_id]に置き換えただけです。

  def show
    if User.find(cookies[:user_id])
      @user=User.find(cookies[:user_id])
      @session_id=request.session_options[:id]
    end
  end
  def auth
    cookies[:user_id] = nil
    user = User.find_by(email: user_params[:email].downcase)
    if user
      cookies[:user_id] = user.id
      redirect_to user
    end
  end

２）クッキー内の情報確認

Fiddle2というHTTPパケットモニタツールを使って確認してみました。

cookiesの情報を見ると下記のようにクッキー内に平文でそのまま保存されていました。

user_id=2

前回のセッションを使った方法もセッションストアがクッキーだったので、何が違うのかと思っていたのですが、セッション情報はデフォルトで暗号化されているという点で大きな違いがあるという事が分かりました。

Railsチュートリアルでクッキーに設定する前にトークンを生成したり暗号化していた理由が少し分かりました。

次回はさらにRailsチュートリアルでの認証方法を確認したいと思います。

１）Rails4のセッションデータ生成方法

Rails4がセッションデータを生成する処理は下記を行っているようです。

secret_key_base = '568・・・'
key_generator = ActiveSupport::KeyGenerator.new(secret_key_base, iterations: 1000)
key_generator = ActiveSupport::CachingKeyGenerator.new(key_generator)
secret = key_generator.generate_key('encrypted cookie')
sign_secret = key_generator.generate_key('signed encrypted cookie')
encryptor = ActiveSupport::MessageEncryptor.new(secret, sign_secret)
session_content = encryptor.encrypt_and_sign({"session_id"=>"・・", "_csrf_token"=>"・・", "user_id"=>1})

２）セッションハイジャックについて

・Webアプリの認証システムでは、パスワード認証後にそのユーザーを識別するユーザーIDをセッションハッシュに保持してそのセッションが適正かチェックする。

・セッション情報は上記１）の処理を見ると暗号化されているようなので、secret_key_baseの値が分からなければ複合してユーザーIDやセッションハッシュ内の情報を取得するのは困難かと思います。

ただ、他人のクッキーを取得してそのユーザーになりすましてWebアプリを利用されてしまうリスクは残ります。

３）セッションハイジャックの対策

・セキュアでないネットワーク環境、たとえば一部のワイアレスLANなど、ではクッキーが盗聴される恐れがある。

・上記に対する対策としては、SSLで暗号化する方法がある。

下記設定でSSL接続の使用を強制できる。
config.force_ssl = true

１）前回の問題点

ユーザーIDが1のユーザーがhttp://localhost:3000/users/loginにアクセスして、認証がOKだとhttp://localhost:3000/users/1のページに遷移し、ユーザー１の情報を閲覧出来ます。

しかし、後続のリクエストに渡って認証情報を引き継ぐ機能を設定していないので、ブラウザにhttp://localhost:3000/users/2を入力するとユーザー２の情報を見る事が出来てしまいます。

そこでセッションを使って認証情報を引き継ぐようにします。

２）セッションの概要

・HTTPはステートレスのプロトコル。セッションを使うことによってステートフルに出来る。

・セッションによってアプリケーションを使用している個々のユーザーを識別し、ショッピングカート内の情報などを保持できる。

・Railsでは、新しいユーザーがアプリにアクセスする際に自動でセッションを生成する。

ユーザーがすでにそのアプリを使用していた場合は、既存のセッションをロードする。

・セッションは通常ハッシュで構成され、32文字のセッションIDではそのハッシュを識別する。

・クライアントのブラウザに送信されたすべてのクッキーはセッションIDを持っていて、サーバーに送信する際にそのセッションIDを指定して送り返す。

・Railsでは、下記のようにセッションメソッドを使ってセッションIDを設定、取得する。

session[:user_id] = @current_user.id
User.find(session[:user_id])

３）セッションID

・セッションIDは、32バイト長のMD5ハッシュ値。

・セッションIDは、ランダム文字列のハッシュ値からなる。

・ランダム文字列は、現在時刻、0～1の間のランダムな数値、RubyインタプリタのプロセスID、ある定数文字列からなる。

・現時点では、RailsのセッションIDの総当り攻撃は困難。

４）セッションの設定

$ more config/initializers/session_store.rb

Sample::Application.config.session_store :cookie_store, key: '_sample_session'

デフォルトでは、セッションストアがクッキーになっていて、そのキーが_アプリ名_sessionとなっています。

５）コントローラでセッションを使って認証維持

①認証時

下記のようにログインしたユーザーのユーザーIDをセッション内にキーを"user_id"として保持します。

設定がクッキーストアになっているので、この情報がクッキー内に保持されてクライアントサーバー間で維持されます。

session[:user_id] = user.id

  def auth
    session[:user_id] = nil
    user = User.find_by(email: user_params[:email].downcase)
    if user
      session[:user_id] = user.id
      redirect_to user
    end
  end

②ユーザー情報表示時

前回は、@user = User.find(params[:id])と設定し、ブラウザのURL内のIDからユーザー情報を取得していましたが、今回は、セッション情報内のsession[:user_id]からユーザーIDを取得しているので、ブラウザのURLに他のユーザーのIDを入力しても閲覧できません。

ここでは、動作確認として、セッションIDも取得してユーザー画面に表示しています。

  def show
    if User.find(session[:user_id])
      @user=User.find(session[:user_id])
      @session_id=request.session_options[:id]
    end
  end

６）クッキー内のセッション情報確認

Fiddle2というHTTPパケットモニタツールを使って確認してみました。

cookiesの情報を見ると、上記４）で確認したセッションのキーの名前で保持されている事が確認出来ます。

_sample_session=cVJUbDYxK・・・・

詳しい仕組みは理解できていませんが、secret_key_baseの値を使って変換された情報がクッキー内に保持されているようです。

７）クッキー内のセッション情報を確認

下記サイトを参考にしてクッキー内のセッション情報を復元してみました。
http://blog.bigbinary.com/2013/03/19/cookies-on-rails.html

railsコンソールを使って復元します。Rails4.0.5で確認

①HTTPパケットモニタツールで該当のキー（ここでは_sample_session）のセッション情報取得して変数に設定

2.0.0-p247 :001 > content = 'cVJUb・・・'

②下記実行

2.0.0-p247 :002 > unescaped_content = URI.unescape(content)

③secret_key_baseの値を取得して、変数に設定

$ more config/initializers/secret_token.rb

2.0.0-p247 :003 > secret_key_base = '568・・'

④参考サイト通りに下記実行

2.0.0-p247 :004 > key_generator = ActiveSupport::KeyGenerator.new(secret_key_base, iterations: 1000)
2.0.0-p247 :005 > key_generator = ActiveSupport::CachingKeyGenerator.new(key_generator)
2.0.0-p247 :006 > secret = key_generator.generate_key('encrypted cookie')
2.0.0-p247 :007 > sign_secret = key_generator.generate_key('signed encrypted cookie')
2.0.0-p247 :008 > encryptor = ActiveSupport::MessageEncryptor.new(secret, sign_secret)
2.0.0-p247 :009 > data = encryptor.decrypt_and_verify(unescaped_content)
=> {"session_id"=>"bcfa246a5a4df811123421d7f4da7511", "_csrf_token"=>"uHo5Bfl+・・・7Hrg=", "user_id"=>1}


上記のようにクッキー内のセッション情報が"session_id"、"_csrf_token"、"user_id"をキーとするハッシュで構成されている事が分かります。


クッキー内のセッション情報内にユーザーIDが保持され続けるので、一度認証するとその後のHTTP通信においても認証許可情報を維持する事ができます。