SSL通信時にセッションを暗号化する方法

2022年7月13日 17:03
以前、「Let's Encryptを使用したWebサーバーのSSL化」という記事を書きました。
実はこの設定だけでは不十分だったので、今回はその続きを書きます。

セッションが保存されない

このポートフォリオサイトでは管理者のみがログインできる機能を持っています。
Railsチュートリアルを見ながら作った自前のログイン機能です。
このログイン機能ではログイン情報をセッションに保存しているのですが、WebサーバーのSSL化を行ってからセッションが保存されなくなりました。
ログイン状態のセッションが存在しないとログイン画面にリダイレクトする設定になっているので、何度ログインしようとしてもログイン画面に戻されるという状況になってしまいました。

Railsアプリの設定

config/environments/production.rbの設定を以下の通り変更します。
# Force all access to the app over SSL, use Strict-Transport-Security, and use secure cookies.
config.force_ssl = true
コメントアウトを外して強制SSL化設定を有効にします。
私は49〜50行目にありました。なければ普通に追加すればいいと思います。

Nginxの設定

/etc/nginx/conf.d/app.confを編集します。
  server {
    listen 80;
    ...
    location @app {
      # HTTP headers
      # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      # proxy_set_header Host $http_host;
      # proxy_redirect off;
      # proxy_pass http://app_server;
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_redirect off;
      proxy_pass http://app_server;
    }
    ...
  }
  server {
    listen 443 ssl;
    location @app {
      # HTTP headers
      # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      # proxy_set_header Host $http_host;
      # proxy_redirect off;
      # proxy_pass http://app_server;
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_redirect off;
      proxy_pass http://app_server;
    }
    ...
  }
http設定とhttps設定の両方に同じ設定を追加します。
私ははじめhttp設定の方にしか追加していなく、ERR_TOO_MANY_REDIRECTSというエラーが出て焦りました。
(ポートフォリオサイトがクラッキングされたのかと思った😊)

session_store.rbって?

前項までで設定は終わりなんですが、いろいろと検索していたときによく「session_store.rbをあーだこーだ」という記述が見られたので補足しておきます。
config/initializers/session_store.rbは、Rails5.1からデフォルトでは作成されなくなったセッション設定ファイルのようです。
これがなくてももちろん動きますし、設定自体は生きているらしいのでファイルを手動で追加すれば機能させることもできます。
今回の内容を満たすためには必要ありませんでした。

関連記事

【Ruby】Bundlerを使ってRubyGemsを作成/公開する方法
# はじめに Bundlerを使ってRubyGemsを作成および公開する方法について説明します。Bundlerを使わずにRubyGemsを作成/公開する方法については以下の記事を参照してください。 <iframe class="hatena [...]
2022年7月12日 23:18
【Ruby】RubyGemsを作成/公開する方法
# はじめに RubyGemsを作成および公開する方法について説明します。Bundlerを使ってRubyGemsを作成する方法については以下の記事を参照してください。 <iframe class="hatenablogcard" style [...]
2022年7月11日 21:52
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築
# はじめに M1チップ搭載MacにRuby on Railsの開発環境を構築する手順を記載します。 - MacBook Air (M1, 2020) - macOS Monterey 12.3.1 # Homebrew ## [...]
2022年5月5日 11:56
【Rails】Rakeタスクの基本情報と作成・実行方法
# はじめに Railsには標準でRakeというGemが同梱されています。RakeはRubyで実装されたMake(UNIX系のOSで使用できるコマンド)のようなビルド作業を自動化するツールです。Ruby Make、略してRakeというわけですね。 [...]
2022年3月7日 22:12
【Rails】モデルに外部キーを設定する方法とよく起こるエラー内容について
# はじめに Railsでモデルに外部キーを設定する方法について説明します。 # モデルに外部キーを設定する ## リレーションシップ 今回は1つのブログ記事は複数のコメントを持つ1対多のリレーションシップを例に説明します。現在は` [...]
2022年2月10日 14:18
【Rails】Capybaraのfill_inメソッドを実行すると「既存レコードの内容+指定した内容」がセットされる事象の原因と対処【RSpec】
# はじめに RSpec + Capybaraを使用して、Railsアプリの統合テストを実装しています。とあるモデルの編集画面において、入力フォームの内容を書き換えた上で送信し、レコードが更新されることを確認します。 入力フォームの内容を書 [...]
2022年1月27日 21:22
【Rails】GitHubのセキュリティアラートで発見された脆弱性を解消する方法
# はじめに GitHubにはセキュリティアラートという機能があります。セキュリティアラートはリポジトリに含まれるライブラリやパッケージの脆弱性を定期的にチェックし、脆弱性のあるライブラリやパッケージが発見されたらアラートで知らせてくれるという機 [...]
2022年1月16日 10:36
【Rails】devise-two-factorを使った2段階認証の実装方法【初学者】
# はじめに Railsアプリで2段階認証を実装するには、「rotp」というGemを使う方法の他に、「devise-two-factor」というGemを使う方法があります。「devise-two-factor」はその名の通り、IDとパスワードによ [...]
2021年12月12日 17:58