Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Implementation of magic link login feature with sorcery gem

62d2fdd017335e36821a8c7c1b936876?s=47 thori
October 08, 2019
Programming
1
380

Implementation of magic link login feature with sorcery gem

62d2fdd017335e36821a8c7c1b936876?s=128

thori

October 08, 2019
Tweet

Other Decks in Programming

See All in Programming
パスワードに関する最近の動向
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
1
330
There's an API for that!
6b6e72d297aa0270654a0d4575f1287e?s=48 mariatta
PRO
0
110
NestJS_meetup_atamaplus
F0a8d07597a19192791bf663504d2a17?s=48 atamaplus
0
210
Lookerとdbtの共存
739b3e6644385d832834f6d4db498642?s=48 ttccddtoki
0
630
atama plusの開発チームはどのように「不確実性」に向き合ってきたか〜2022夏版〜
F0a8d07597a19192791bf663504d2a17?s=48 atamaplus
3
610
Scaling Productivity- How we have improved our dev experience
63c8b0590595c3de58406678ef99a6bf?s=48 sockeqwe
1
120
Computer Vision Seminar 1/コンピュータビジョンセミナーvol.1 OpenCV活用
Bbf28bf908ac83e5b85b52a675641641?s=48 fixstars
0
170
Carp言語さわってみた 〜鯉を取り戻せ編〜
Ced5def68f1a6bcd0736018bc64b116d?s=48 tsin45
0
100
アジャイルで始める データ分析基盤構築
384e4d8bab8ac2a5e6f64dab1300c491?s=48 nagano
1
900
設計の考え方とやり方
8f84b7d8869ef6005d89b378e8661f7c?s=48 masuda220
PRO
54
30k
Babylon.jsで作ったsceneをレイトレーシングで映えさせる
C54e383f9597a63832fcc1c2547c7540?s=48 turamy
1
210
アジャイルで不確実性に向き合うための開発タスクの切り方
444706893bf3e53d6d96b4509d2d05d5?s=48 tanden
4
1.1k

Featured

See All Featured
Bootstrapping a Software Product
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
296
110k
How to train your dragon (web standard)
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
60
3.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
269
12k
The Brand Is Dead. Long Live the Brand.
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
46
2.7k
Designing the Hi-DPI Web
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
272
32k
How New CSS Is Changing Everything About Graphic Design on the Web
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
213
11k
How To Stay Up To Date on Web Technology
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
780
250k
Designing Experiences People Love
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
130
22k
Helping Users Find Their Own Way: Creating Modern Search Experiences
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
7
1.1k
Designing on Purpose - Digital PM Summit 2013
7653c7c449918ff6542880a8c284f5e7?s=48 jponch
106
5.7k
Atom: Resistance is Futile
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
255
20k
Mobile First: as difficult as doing things right
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
213
7.6k

Transcript

  1. パスワードいらず、 sorceryでマジックリンクメールログイン 2019/10/9 堀 巧

  2. Profile 堀 巧 / Takumi Hori テックリード@株式会社ライボ Ruby on Rails、Scala、Angular、 CakePHP、Docker、Vue.js

    GitHub: @thori0908 Twitter: @hori_engineer 2

  3. JobQ キャリアや転職に特化した匿名相談サービス • キャリアに関する相談 例、エンジニアになるか迷ってま す。。 • 企業の口コミ 例、あの会社の年収は?   社風は?

    https://job-q.me 3

  4. さらなる成長のためCakePHP2系からRailsへ移行中 色々あります手伝ってください... • CakePHP2系からRuby on Railsへ • jQuery廃止してVue.jsへ • インフラもEC2からECSへ

    (dockerコンテナ化) • 仕様も変更 ◦ 使っていない機能削除 ◦ 使いやすいadmin画面に改善 4

  5. エンジニア募集中! 5

  6. admin画面のパスワード認証を楽にしたい パスワードあり • 簡単なパスワードにしてしまう 例、password, abcd1234 • パスワード管理ツール使う パスワードなし •

    覚えなくて良い • セキュリティに強い • 探さなくて良い 6

  7. マジックリンクメールで、 できます! 7

  8. マジックリンクメールと は? 8

  9. マジックリンクメールの仕組み • ユーザー登録後、フォームにemailを入力して送信する • マジックリンク付きメールが送られる • マジックリンクをクリックするとログインできる 9

  10. どう実装するか 10

  11. ユーザーとサーバーのやりとり マジックリンクメール click GET /login POST /login GET /auth/:token ログインフォーム

    ログイントップ submit 送信完了画面 ユーザー側 サーバー側 11

  12. 必要なカラムをmigration • users.magic_login_token ◦ マジックリンクのtoken • users.magic_login_token_expires_at ◦ tokenの期限 •

    users.magic_login_email_sent_at ◦ ログインメールの送信時刻 12

  13. 実装 GET /login 13

  14. 実装 POST /login • emailでDBからuserを取得 • token発行、tokenの期限設定 • ログインメールを送ってから、十分時間が立っているか ◦

    hammering protectionという。(らしい • マジックリンクメールを送信 14

  15. 実装 GET /auth/:token • tokenでDBからuserを取得 • userのmagic_login_tokenとmagic_login_token_expires_at をNULLにする ◦ tokenは一度だけ使用できる

    ◦ セキュリティのため • ログイントップへリダイレクト 実装おしまい。 15

  16. sorceryのsubmodule が便利です! (Readmeはないようですが作者の記事があります。 https://qiita.com/tonishi/items/832dbd6c1a0a012519fd 16

  17. sorceryのsubmodule MagicLoginを使う • configファイル ◦ マジックログインに使うメールを指定 ◦ tokenの有効時間設定 • 必要なカラムを追加するmigrationファイル用意

    ◦ magic_login_token ◦ magic_login_token_expires_at ◦ magic_login_email_sent_at 17

  18. sorceryの便利メソッド • deliver_magic_login_instructions! ◦ hammering protection ◦ ログインtoken発行、token期限指定 ◦ マジックリンクメール送信

    • load_from_magic_login_token ◦ tokenでuserモデルを取得 ◦ tokenの期限をチェック • generate_magic_login_token ◦ token発行 18

  19. 運用時の懸念 19

  20. 運用時の問題 開発時運用 • 開発環境でメールを送信して、受け 取るのが面倒 ->ログにメールの内容を吐き出す 本番時運用 • メールが送られなくなったら、ユー ザーはログインできない

    ->スパム認定されないよう用心 20

  21. まとめ • マジックリンクログインでパスワード管理から解放される • マジックリンク付きのメールを送るだけ • sorceryを使うと便利 21

  22. おまけ passwordlessというgemでも実装できるらしい。 https://github.com/mikker/passwordless passwordlessはdeviseと併用できないらしい https://github.com/mikker/passwordless/issues/9 22