Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Implementation of magic link login feature with...

Avatar for thori thori
October 08, 2019
Programming
1
620

Implementation of magic link login feature with sorcery gem

Avatar for thori

thori

October 08, 2019
Tweet

Other Decks in Programming

See All in Programming
AIエージェントの設計で注意するべきポイント6選
Avatar for Har1101 har1101
6
2.8k
AtCoder Conference 2025
Avatar for shindannin shindannin
0
850
Go コードベースの構成と AI コンテキスト定義
Avatar for ANDPAD inc andpad
0
150
Denoのセキュリティに関する仕組みの紹介 (toranoana.deno #23)
Avatar for uki00a uki00a
0
200
Python札幌 LT資料
Avatar for t3tra t3tra
7
1.1k
生成AIを利用するだけでなく、投資できる組織へ
Avatar for pospome pospome
2
430
【卒業研究】会話ログ分析によるユーザーごとの関心に応じた話題提案手法
Avatar for MomokoShirakawa momok47
0
150
はじめてのカスタムエージェント【GitHub Copilot Agent Mode編】
Avatar for Satoshi Kaneyasu satoshi256kbyte
0
130
実はマルチモーダルだった。ブラウザの組み込みAI🧠でWebの未来を感じてみよう #jsfes #gemini
Avatar for n0bisuke n0bisuke2
3
1.4k
ELYZA_Findy AI Engineering Summit登壇資料_AIコーディング時代に「ちゃんと」やること_toB LLMプロダクト開発舞台裏_20251216
Avatar for 株式会社ELYZA elyza
2
860
[AtCoder Conference 2025] LLMを使った業務AHCの上⼿な解き⽅
Avatar for terry-u16 terryu16
6
970
The Art of Re-Architecture - Droidcon India 2025
Avatar for Sid Patil siddroid
0
150

Featured

See All Featured
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
355
21k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
270
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.3k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
0
28
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
1
39
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
4.5k
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
600

Transcript

  1. パスワードいらず、 sorceryでマジックリンクメールログイン 2019/10/9 堀 巧

  2. Profile 堀 巧 / Takumi Hori テックリード@株式会社ライボ Ruby on Rails、Scala、Angular、 CakePHP、Docker、Vue.js

    GitHub: @thori0908 Twitter: @hori_engineer 2

  3. JobQ キャリアや転職に特化した匿名相談サービス • キャリアに関する相談 例、エンジニアになるか迷ってま す。。 • 企業の口コミ 例、あの会社の年収は?   社風は?

    https://job-q.me 3

  4. さらなる成長のためCakePHP2系からRailsへ移行中 色々あります手伝ってください... • CakePHP2系からRuby on Railsへ • jQuery廃止してVue.jsへ • インフラもEC2からECSへ

    (dockerコンテナ化) • 仕様も変更 ◦ 使っていない機能削除 ◦ 使いやすいadmin画面に改善 4

  5. エンジニア募集中! 5

  6. admin画面のパスワード認証を楽にしたい パスワードあり • 簡単なパスワードにしてしまう 例、password, abcd1234 • パスワード管理ツール使う パスワードなし •

    覚えなくて良い • セキュリティに強い • 探さなくて良い 6

  7. マジックリンクメールで、 できます! 7

  8. マジックリンクメールと は? 8

  9. マジックリンクメールの仕組み • ユーザー登録後、フォームにemailを入力して送信する • マジックリンク付きメールが送られる • マジックリンクをクリックするとログインできる 9

  10. どう実装するか 10

  11. ユーザーとサーバーのやりとり マジックリンクメール click GET /login POST /login GET /auth/:token ログインフォーム

    ログイントップ submit 送信完了画面 ユーザー側 サーバー側 11

  12. 必要なカラムをmigration • users.magic_login_token ◦ マジックリンクのtoken • users.magic_login_token_expires_at ◦ tokenの期限 •

    users.magic_login_email_sent_at ◦ ログインメールの送信時刻 12

  13. 実装 GET /login 13

  14. 実装 POST /login • emailでDBからuserを取得 • token発行、tokenの期限設定 • ログインメールを送ってから、十分時間が立っているか ◦

    hammering protectionという。(らしい • マジックリンクメールを送信 14

  15. 実装 GET /auth/:token • tokenでDBからuserを取得 • userのmagic_login_tokenとmagic_login_token_expires_at をNULLにする ◦ tokenは一度だけ使用できる

    ◦ セキュリティのため • ログイントップへリダイレクト 実装おしまい。 15

  16. sorceryのsubmodule が便利です! (Readmeはないようですが作者の記事があります。 https://qiita.com/tonishi/items/832dbd6c1a0a012519fd 16

  17. sorceryのsubmodule MagicLoginを使う • configファイル ◦ マジックログインに使うメールを指定 ◦ tokenの有効時間設定 • 必要なカラムを追加するmigrationファイル用意

    ◦ magic_login_token ◦ magic_login_token_expires_at ◦ magic_login_email_sent_at 17

  18. sorceryの便利メソッド • deliver_magic_login_instructions! ◦ hammering protection ◦ ログインtoken発行、token期限指定 ◦ マジックリンクメール送信

    • load_from_magic_login_token ◦ tokenでuserモデルを取得 ◦ tokenの期限をチェック • generate_magic_login_token ◦ token発行 18

  19. 運用時の懸念 19

  20. 運用時の問題 開発時運用 • 開発環境でメールを送信して、受け 取るのが面倒 ->ログにメールの内容を吐き出す 本番時運用 • メールが送られなくなったら、ユー ザーはログインできない

    ->スパム認定されないよう用心 20

  21. まとめ • マジックリンクログインでパスワード管理から解放される • マジックリンク付きのメールを送るだけ • sorceryを使うと便利 21

  22. おまけ passwordlessというgemでも実装できるらしい。 https://github.com/mikker/passwordless passwordlessはdeviseと併用できないらしい https://github.com/mikker/passwordless/issues/9 22