はじめに
ユーザー登録/解除やログイン/ログアウトといった認証機能の導入に「devise」というGemを使っている人は多いと思います。「devise」では以下のように記述するだけで、ユーザー登録時に確認メールを送付しメールアドレス認証を行う機能を追加することができます。
app/models/user.rb
class User < ApplicationRecord
devise ..., :confirmable
end
しかし、実はメールアドレス認証機能は「devise」を使わなくても簡単に実装できます。今回は自前の認証機能にメールアドレス認証機能を追加実装する方法について説明します。
メールアドレス認証の流れ
一般的なメールアドレス認証の流れは以下の通りです。
- ユーザー登録を行う
- 登録したメールアドレス宛に確認メールを送信
- 確認メールに記載されているURLにアクセス
- メールアドレス認証を行う
- 認証OK
- 認証NG(不正なトークン/有効期限切れ)
- 認証OKならログイン可能
ユーザーがユーザー登録画面でメールアドレスとパスワードを入力し登録ボタンを押下します。すると、登録したメールアドレス宛に確認メールが送信されます。ユーザーが確認メールに記載されているURLにアクセスします。認証がOKならログインが可能になります。
確認メールに記載されているURLには一意なトークンを含ませ、トークンには有効期限(トークン発行から24時間以内など)を設けます。トークンの有効期限が過ぎた場合のために確認メールの再送機能も必要です。
メールアドレス認証の実装
メールアドレス認証用のカラム追加
既に認証機能が実装されている前提です。認証に使用しているモデルに以下のカラムを追加します。なお、「認証」は英語でAuthenticateですが、それだとログイン/ログアウトの「認証」と区別がつかず紛らわしいので、メールアドレス認証で使用する名称はConfirmationで統一しています。
| カラム名 | 説明 |
|---|---|
confirmation_status |
メールアドレス認証のステータス(認証済み or 未認証)。 |
confirmation_token |
確認メールに記載されているURLで使用する一意でURLセーフな文字列。 |
expiration_date |
confirmation_tokenの有効期限。 |
以下のコマンドを実行してマイグレーションファイルを作成します。
% rails generate migration add_confirmation_to_users
作成したマイグレーションファイルに以下を記述します。
db/migrate/yyyymmddhhmmss_add_confirmation_to_users.rb
class AddConfirmationToUsers < ActiveRecord::Migration
def change
add_column :users, :confirmation_status, :integer, default: 1, null: false
add_column :users, :confirmation_token, :string, limit: 64
add_column :users, :expiration_date, :datetime
end
end
以下のコマンドを実行します。
% rails db:migrate
Userモデルにconfirmation_statusという列挙型(enum)を定義します。
app/models/user.rb
enum confirmation_status: {
confirmed: 0,
unconfirmed: 1,
}
モデルに定義した列挙型(enum)の使用方法について詳しくは以下の記事を参照してください。
確認メールの送信処理
ユーザー登録処理を以下のように変更します。
app/controllers/users_controller.rb
def create
@user = User.new(user_params)
if @user.save
redirect_to root_path, notice: '登録したメールアドレスに確認メールを送信しました。'
else
flash[:alert] = 'ユーザー登録ができませんでした。'
render :new
end
private
def user_params
params.require(:user).permit(:email, :password, :password_confirmation)
end
end
Userモデルに以下のメソッドを追加します。
app/models/user.rb
before_create :set_email_confirmation
before_create :send_email_confirmation
def set_email_confirmation
self.confirmation_token = SecureRandom.urlsafe_base64(47)
self.expiration_date = Time.zone.now + Constants::EMAIL_CONFIRMATION_LIMIT
end
def send_email_confirmation
UserMailer.send_email_confirmation(self).deliver_later
end
config/initializers/constants.rb
module Constants
EMAIL_CONFIRMATION_LIMIT = Rails.env.production? ? 1.day : 10.minutes
end
set_email_confirmationでは、確認メールに記載するURLで使用する一意でURLセーフなトークンを生成し設定します。SecureRandom.urlsafe_base64(n)で生成される文字列のサイズはnの約4/3倍になるので、引数に47を指定することで64桁の文字列を生成しています。
トークン発行と同時にトークンの有効期限を設定します。有効期限の設定に使用する加算値は本番環境とそれ以外で個別の値を定義します。
send_email_confirmationでは、確認メールを送信するメーラーを呼び出します。
set_email_confirmationとsend_email_confirmationをオブジェクト作成時に呼び出されるコールバックに登録することで、Userモデルのレコードを作成する前にこれらのメソッドが実行されるようにします。
次に、確認メールを送信するメーラーとメールテンプレートを作成します。以下のコマンドを実行してUserメーラーを作成します。
% rails generate mailer UserMailier
作成したUserメーラーに以下を記述します。
app/mailer/user_mailer.rb
class UserMailer < ApplicationMailer
default from: 'no-reply@example.com'
def send_email_confirmation(user)
@user = user
mail(to: @user.email, subject: 'メールアドレス認証のお願い')
end
end
続いてメールテンプレートを作成します。app/views/user_mailer/ディレクトリ配下にsend_email_confirmation.text.erbを作成し、以下を記述します。
app/views/user_mailer/send_email_confirmation.text.erb
以下のリンクをクリックしてメールアドレスの認証を行ってください。
<%= @user.confirmation_token %>
2行目にメールアドレスの認証を行うURLを記載するのですが、現段階ではそのルーティングを設定していないので、ひとまず生成したトークンを表示するようにしています。
Action Mailerの使い方については以下の記事を参照してください。
メールアドレスの認証処理
以下のルーティングを追加します。
config/routes.rb
resources :users do
get :confirm_email, on: :collection
end
Userコントローラーに追加したルーティングのアクションを作成します。
app/controllers/users_controller.rb
def confirm_email
if @user = User.find_by(confirmation_token: params[:token])
unless @user.expired?
@user.activate
end
end
end
クエリとして受け取ったトークンをキーにしてUserモデルを検索します。レコードが見つからない or トークンの有効期限が過ぎていると認証NGになります。認証OKであればアクティベーション処理を行います。
Userモデルに以下のメソッドを追加します。
app/models/user.rb
def expired?
expiration_date.present? ? expiration_date < Time.zone.now : false
end
def activate
status = User.confirmation_statuses[:confirmed]
update!(
confirmation_status: status,
confirmation_token: nil,
expiration_date: nil,
)
end
expired?では、トークンの有効期限が設定されていれば現在日時と比較し、その結果を返します。
activateでは、認証ステータスを認証済みに設定し、トークンとトークンの有効期限をリセットします。
メールアドレス認証処理が作成できたので、確認メールのメールテンプレートを以下のように修正します。
app/views/user_mailer/send_email_confirmation.text.erb
以下のリンクをクリックしてメールアドレスの認証を行ってください。
<%= confirm_email_users_url(token: @user.confirmation_token) %>
実際のメールは以下のように表示されます。
以下のリンクをクリックしてメールアドレスの認証を行ってください。
http://localhost:3000/confirm_email?token=ZBeiMq6wJiLacPN1v2Tq5XgiOVtEtRnDa376ZAqVAG-iQRHed6hgWU_ZQNDXOIU
なお、開発環境でURL付きのメールを確認する場合、以下の設定が必要になります。
config/environments/development.rb
config.action_mailer.default_url_options = { host: 'localhost', port: 3000 }
最後に、メールアドレス認証の結果を表示するビューテンプレートを作成します。app/views/users/ディレクトリ配下にconfirm_email.html.erbを作成します。
app/views/users/confirm_email.html.erb
<% if @admin&.confirmed? %>
メールアドレスの確認ができました。
<% else %>
メールアドレスの確認ができませんでした。
<% end %>
@admin&.confirmed?の&は、safe navigation operator(通称「ぼっち演算子」)と呼ばれる記号で、@adminがnilでないときにconfirmed?が呼び出されます。
ログイン処理
ログイン処理を以下のように変更します。
app/controllers/sessions_controller.rb
def create
user = User.find_by(email: params[:email].downcase)
if user&.authenticate(params[:password])
if user.confirmed?
log_in(user)
redirect_to root_path, notice: 'ログインしました。'
else
flash[:alert] = 'メールアドレス認証を行ってください。'
render :new
end
else
flash[:alert] = 'メールアドレスかパスワードが間違っています。'
render :new
end
end
メールアドレスとパスワードによる認証を行った後にメールアドレス認証の確認を行うようにします。
確認メールの再送処理
以下のルーティングを追加します
config/routes.rb
resources :sessions do
get :resend_email_confirmation, on: :member
end
Sessionsコントローラーに追加したルーティングのアクションを作成します。
app/controllers/sessions_controller.rb
def resend_email_confirmation
user = User.find_by(email: params[:email].downcase)
if user&.authenticate(params[:password])
if user.save
redirect_to root_path, notice: '登録されているメールアドレスに確認メールを送信しました。'
else
flash[:alert] = '確認メールの再送に失敗しました。'
render :new
end
else
flash[:alert] = 'メールアドレスかパスワードが間違っています。'
render :new
end
end
確認メールを再送する場合、絶対にトークンを再利用しないでください。必ず新しいトークンを発行し、トークンの有効期限も設定し直します。
あとは確認メールを再送する画面で上記のアクションを実行するリンクなどを設置すればOKです。
まとめ
自前の認証機能にメールアドレス認証機能を追加実装する方法について説明しました「devise」などのGemを使わずに認証機能を自前で実装しているという場合は、本記事を参考にしてメールアドレス認証機能を実装していただければと思います。
【Rails】Paranoiaを使用した論理削除(ソフトデリート)
【Rails】activerecord-multi-tenantを使用したマルチテナントアプリケーションの作成
【Rails】RubyとRailsにおけるattr_reader, attr_writer, attr_accessorの概念と使用方法
【Rails】RubyとRailsにおけるyieldの概念と使用方法
【Rails】AASMを使用してオブジェクトの状態遷移を効率的に管理
【Rails】RSpec + Swagger + rswagでアプリケーションのAPIをテストおよびドキュメント化する方法
【Rails】mailcatcherを使用して開発環境でメール送信をテストする方法
【Rails】impressionistを使用してページビューやクリック数を追跡する方法
【CSS+JS】背景画像の視差効果(パララックス)を実装する方法
【CSS+JS】モーダルウィンドウを表示しその中にYouTube動画を動的に埋め込む
【Rails】アプリケーションサーバー「Unicorn」の基本情報と実装方法
【Git】マージにおけるfast-forwardとnon-fast-forwardの違い
【Rails】忘れがちなルーティングの書き方を総復習
MySQL Workbenchでリモートサーバー上のMySQLにSSH接続する方法【接続できない場合の対処法あり】
【Rails】忘れがちなGemfileの書き方を総復習
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築