[Rails] Rails8で導入されたAuthenticationを試してみたが導入を見送った話

2024/12/01

Rails

こんにちは。

Rails8がいよいよ公式リリースされましたね。

私も早速色々試してみている状態ですが皆さんはいかがでしょうか?

個人的には、Rails8での注目ポイントはSolid QueueやSolid Cache、Solid Cableなどです。

Redis前提になっていたこれまでのAction CableやSidekiqなどが、これらの新機能に統合されることで、よりシンプルに開発ができるようになりそうです。

Redisもライセンス変更があったりしたので、今後どうなると様子を見ていかねばいけないなあと思っていた中、このような新機能が追加されることで、Redisに依存しない開発ができるようになるのはとてもありがたいです。

さて、今回はRails8で導入されたAuthenticationを試してみたが導入を見送った話をお伝えします。

Rails8で導入されたAuthentication

Rails8で導入されたAuthenticationとは、Railsがデフォルトで提供する認証機能の作成が簡単になる機能です。

bin/rails generate authenticationコマンドを実行することで、簡単に認証機能を作成することができます。

作成されるファイル

bin/rails generate authenticationコマンドを実行すると、以下のファイルが作成 or 更新されます。

app/channels/application_cable/connection.rb
module ApplicationCable
  class Connection < ActionCable::Connection::Base
    identified_by :current_user

    def connect
      set_current_user || reject_unauthorized_connection
    end

    private
      def set_current_user
        if session = Session.find_by(id: cookies.signed[:session_id])
          self.current_user = session.user
        end
      end
  end
end
app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  include Authentication
  # ...
end
app/controllers/concerns/authentication.rb
module Authentication
  extend ActiveSupport::Concern

  included do
    before_action :require_authentication
    helper_method :authenticated?
  end

  class_methods do
    def allow_unauthenticated_access(**options)
      skip_before_action :require_authentication, **options
    end
  end

  private
    def authenticated?
      resume_session
    end

    def require_authentication
      resume_session || request_authentication
    end


    def resume_session
      Current.session ||= find_session_by_cookie
    end

    def find_session_by_cookie
      Session.find_by(id: cookies.signed[:session_id])
    end


    def request_authentication
      session[:return_to_after_authenticating] = request.url
      redirect_to new_session_path
    end

    def after_authentication_url
      session.delete(:return_to_after_authenticating) || root_url
    end


    def start_new_session_for(user)
      user.sessions.create!(user_agent: request.user_agent, ip_address: request.remote_ip).tap do |session|
        Current.session = session
        cookies.signed.permanent[:session_id] = { value: session.id, httponly: true, same_site: :lax }
      end
    end

    def terminate_session
      Current.session.destroy
      cookies.delete(:session_id)
    end
end
app/controllers/passwords_controller.rb
class PasswordsController < ApplicationController
  allow_unauthenticated_access
  before_action :set_user_by_token, only: %i[ edit update ]

  def new
  end

  def create
    if user = User.find_by(email_address: params[:email_address])
      PasswordsMailer.reset(user).deliver_later
    end

    redirect_to new_session_path, notice: "Password reset instructions sent (if user with that email address exists)."
  end

  def edit
  end

  def update
    if @user.update(params.permit(:password, :password_confirmation))
      redirect_to new_session_path, notice: "Password has been reset."
    else
      redirect_to edit_password_path(params[:token]), alert: "Passwords did not match."
    end
  end

  private
    def set_user_by_token
      @user = User.find_by_password_reset_token!(params[:token])
    rescue ActiveSupport::MessageVerifier::InvalidSignature
      redirect_to new_password_path, alert: "Password reset link is invalid or has expired."
    end
end
app/controllers/sessions_controller.rb
class SessionsController < ApplicationController
  allow_unauthenticated_access only: %i[ new create ]
  rate_limit to: 10, within: 3.minutes, only: :create, with: -> { redirect_to new_session_url, alert: "Try again later." }

  def new
  end

  def create
    if user = User.authenticate_by(params.permit(:email_address, :password))
      start_new_session_for user
      redirect_to after_authentication_url
    else
      redirect_to new_session_path, alert: "Try another email address or password."
    end
  end

  def destroy
    terminate_session
    redirect_to new_session_path
  end
end
app/mailers/passwords_mailer.rb
class PasswordsMailer < ApplicationMailer
  def reset(user)
    @user = user
    mail subject: "Reset your password", to: user.email_address
  end
end
app/models/current.rb
class Current < ActiveSupport::CurrentAttributes
  attribute :session
  delegate :user, to: :session, allow_nil: true
end
app/models/session.rb
class Session < ApplicationRecord
  belongs_to :user
end
app/models/user.rb
class User < ApplicationRecord
  has_secure_password
  has_many :sessions, dependent: :destroy

  normalizes :email_address, with: ->(e) { e.strip.downcase }
end
app/views/passwords_mailer/reset.html.erb
<p>
  You can reset your password within the next 15 minutes on
  <%= link_to "this password reset page", edit_password_url(@user.password_reset_token) %>.
</p>
app/views/passwords_mailer/reset.text.erb
You can reset your password within the next 15 minutes on this password reset page:
<%= edit_password_url(@user.password_reset_token) %>.
config/routes.rb
Rails.application.routes.draw do
  resource :session
  resources :passwords, param: :token
  # ...
end
db/migrate/******_create_users.rb
class CreateUsers < ActiveRecord::Migration[8.0]
  def change
    create_table :users do |t|
      t.string :email_address, null: false
      t.string :password_digest, null: false

      t.timestamps
    end
    add_index :users, :email_address, unique: true
  end
end
db/migrate/******_create_sessions.rb
class CreateSessions < ActiveRecord::Migration[8.0]
  def change
    create_table :sessions do |t|
      t.references :user, null: false, foreign_key: true
      t.string :ip_address
      t.string :user_agent

      t.timestamps
    end
  end
end
test/fixtures/users.yml
<% password_digest = BCrypt::Password.create("password") %>

one:
  email_address: one@example.com
  password_digest: <%= password_digest %>

two:
  email_address: two@example.com
  password_digest: <%= password_digest %>
test/mailers/previews/passwords_mailer_preview.rb
# Preview all emails at http://localhost:3000/rails/mailers/passwords_mailer
class PasswordsMailerPreview < ActionMailer::Preview
  # Preview this email at http://localhost:3000/rails/mailers/passwords_mailer/reset
  def reset
    PasswordsMailer.reset(User.take)
  end
end
test/models/user_test.rb
require "test_helper"

class UserTest < ActiveSupport::TestCase
  # test "the truth" do
  #   assert true
  # end
end

はい。こんな感じでファイルが作成されました。

導入を見送った理由

しかし、私はこのAuthenticationを導入することを見送りました。

Rails公式が準備した機能としては結構クセのある実装であるところが気になりました。

特に、やっぱりapp/models/current.rbですね。

ActiveSupport::CurrentAttributesというクラス自体、僕個人的には初めて見たレベルでした。

調べてみると理解はできたのですが、「わざわざこれするメリットってなんだ…?」というのが正直なところでした。

こちらの記事にもあるように、ちゃんとそのタイミングで設定がされているかどうかを判定するのが相当むずいのかな?と思っています。

基本的な?(というかDeviseのような、昔からよくある)current_userを使う方法の方が、わかりやすいし、他の人が見たときにもわかりやすいかなと思いました。

まとめ

というわけで、今回はRails8で導入されたAuthenticationを試してみたが導入を見送った話をお伝えしました。

Rails8で導入された新機能は、とても便利なものが多いですが、その中でもクセのある実装があることもあるので、導入する際はよく検討してみることをおすすめします。

今回はこのあたりで。

Related Posts

[Rails] Rails8の新機能、Solid Queueを試してみる

[Rails] Rails8の新機能、Solid Queueを試してみる
Rails

[Rails] 親子関係のrelationで子がない親だけを取り出すscopeの書き方

[Rails] 親子関係のrelationで子がない親だけを取り出すscopeの書き方
Rails

[Rails]insert_allの返り値に注意しないといけないよって話

[Rails]insert_allの返り値に注意しないといけないよって話
Rails