Implementation of magic link login feature with sorcery gem

パスワードいらず、 sorceryでマジックリンクメールログイン 2019/10/9 堀巧

Profile 堀　巧 / Takumi Hori テックリード@株式会社ライボ Ruby on Rails、Scala、Angular、 CakePHP、Docker、Vue.js
GitHub: @thori0908 Twitter: @hori_engineer 2

JobQ キャリアや転職に特化した匿名相談サービス • キャリアに関する相談例、エンジニアになるか迷ってます。。 • 企業の口コミ例、あの会社の年収は？　　社風は？
https://job-q.me 3

さらなる成長のためCakePHP2系からRailsへ移行中色々あります手伝ってください... • CakePHP2系からRuby on Railsへ • jQuery廃止してVue.jsへ • インフラもEC2からECSへ
(dockerコンテナ化) • 仕様も変更 ◦ 使っていない機能削除 ◦ 使いやすいadmin画面に改善 4

エンジニア募集中！ 5

admin画面のパスワード認証を楽にしたいパスワードあり • 簡単なパスワードにしてしまう例、password, abcd1234 • パスワード管理ツール使うパスワードなし •
覚えなくて良い • セキュリティに強い • 探さなくて良い 6

マジックリンクメールで、できます！ 7

マジックリンクメールとは？ 8

マジックリンクメールの仕組み • ユーザー登録後、フォームにemailを入力して送信する • マジックリンク付きメールが送られる • マジックリンクをクリックするとログインできる 9

どう実装するか 10

ユーザーとサーバーのやりとりマジックリンクメール click GET /login POST /login GET /auth/:token ログインフォーム
ログイントップ submit 送信完了画面ユーザー側サーバー側 11

必要なカラムをmigration • users.magic_login_token ◦ マジックリンクのtoken • users.magic_login_token_expires_at ◦ tokenの期限 •
users.magic_login_email_sent_at ◦ ログインメールの送信時刻 12

実装 GET /login 13

実装 POST /login • emailでDBからuserを取得 • token発行、tokenの期限設定 • ログインメールを送ってから、十分時間が立っているか ◦
hammering protectionという。(らしい • マジックリンクメールを送信 14

実装 GET /auth/:token • tokenでDBからuserを取得 • userのmagic_login_tokenとmagic_login_token_expires_at をNULLにする ◦ tokenは一度だけ使用できる
◦ セキュリティのため • ログイントップへリダイレクト実装おしまい。 15

sorceryのsubmodule が便利です！ (Readmeはないようですが作者の記事があります。 https://qiita.com/tonishi/items/832dbd6c1a0a012519fd 16

sorceryのsubmodule MagicLoginを使う • configファイル ◦ マジックログインに使うメールを指定 ◦ tokenの有効時間設定 • 必要なカラムを追加するmigrationファイル用意
◦ magic_login_token ◦ magic_login_token_expires_at ◦ magic_login_email_sent_at 17

sorceryの便利メソッド • deliver_magic_login_instructions! ◦ hammering protection ◦ ログインtoken発行、token期限指定 ◦ マジックリンクメール送信
• load_from_magic_login_token ◦ tokenでuserモデルを取得 ◦ tokenの期限をチェック • generate_magic_login_token ◦ token発行 18

運用時の懸念 19

運用時の問題開発時運用 • 開発環境でメールを送信して、受け取るのが面倒 ->ログにメールの内容を吐き出す本番時運用 • メールが送られなくなったら、ユーザーはログインできない
->スパム認定されないよう用心 20

まとめ • マジックリンクログインでパスワード管理から解放される • マジックリンク付きのメールを送るだけ • sorceryを使うと便利 21

おまけ passwordlessというgemでも実装できるらしい。 https://github.com/mikker/passwordless passwordlessはdeviseと併用できないらしい https://github.com/mikker/passwordless/issues/9 22

Implementation of magic link login feature with...

Implementation of magic link login feature with sorcery gem

thori

Other Decks in Programming

Featured

Transcript

パスワードいらず、 sorceryでマジックリンクメールログイン 2019/10/9 堀巧

Profile 堀　巧 / Takumi Hori テックリード@株式会社ライボ Ruby on Rails、Scala、Angular、 CakePHP、Docker、Vue.js

JobQ キャリアや転職に特化した匿名相談サービス • キャリアに関する相談例、エンジニアになるか迷ってます。。 • 企業の口コミ例、あの会社の年収は？　　社風は？

さらなる成長のためCakePHP2系からRailsへ移行中色々あります手伝ってください... • CakePHP2系からRuby on Railsへ • jQuery廃止してVue.jsへ • インフラもEC2からECSへ

エンジニア募集中！ 5

admin画面のパスワード認証を楽にしたいパスワードあり • 簡単なパスワードにしてしまう例、password, abcd1234 • パスワード管理ツール使うパスワードなし •

マジックリンクメールで、できます！ 7

マジックリンクメールとは？ 8

マジックリンクメールの仕組み • ユーザー登録後、フォームにemailを入力して送信する • マジックリンク付きメールが送られる • マジックリンクをクリックするとログインできる 9

どう実装するか 10

ユーザーとサーバーのやりとりマジックリンクメール click GET /login POST /login GET /auth/:token ログインフォーム

必要なカラムをmigration • users.magic_login_token ◦ マジックリンクのtoken • users.magic_login_token_expires_at ◦ tokenの期限 •

実装 GET /login 13

実装 POST /login • emailでDBからuserを取得 • token発行、tokenの期限設定 • ログインメールを送ってから、十分時間が立っているか ◦

実装 GET /auth/:token • tokenでDBからuserを取得 • userのmagic_login_tokenとmagic_login_token_expires_at をNULLにする ◦ tokenは一度だけ使用できる

sorceryのsubmodule が便利です！ (Readmeはないようですが作者の記事があります。 https://qiita.com/tonishi/items/832dbd6c1a0a012519fd 16

sorceryのsubmodule MagicLoginを使う • configファイル ◦ マジックログインに使うメールを指定 ◦ tokenの有効時間設定 • 必要なカラムを追加するmigrationファイル用意

sorceryの便利メソッド • deliver_magic_login_instructions! ◦ hammering protection ◦ ログインtoken発行、token期限指定 ◦ マジックリンクメール送信

運用時の懸念 19

運用時の問題開発時運用 • 開発環境でメールを送信して、受け取るのが面倒 ->ログにメールの内容を吐き出す本番時運用 • メールが送られなくなったら、ユーザーはログインできない

まとめ • マジックリンクログインでパスワード管理から解放される • マジックリンク付きのメールを送るだけ • sorceryを使うと便利 21

おまけ passwordlessというgemでも実装できるらしい。 https://github.com/mikker/passwordless passwordlessはdeviseと併用できないらしい https://github.com/mikker/passwordless/issues/9 22