Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
devise-two-factorを4.xから5.xに上げた話
Search
Kazuhiro NISHIYAMA
August 24, 2024
Technology
430
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
devise-two-factorを4.xから5.xに上げた話
[大阪Ruby会議04](
https://regional.rubykaigi.org/osaka04/)のスポンサーLTの発表資料です
。
Kazuhiro NISHIYAMA
August 24, 2024
More Decks by Kazuhiro NISHIYAMA
See All by Kazuhiro NISHIYAMA
Rubyの配布パッケージの変遷
znz
0
31
Headscale + Tailscale に移行中
znz
0
72
Ruby on Rails と私
znz
0
79
riscv64.rubyci.org internal
znz
0
59
Rubyの日本語リファレンスマニュアルの現在と未来
znz
0
120
docs.ruby-lang.org/ja/ の生成方法を変えた
znz
0
120
Ubuntuのriscv64版をqemuで動かした
znz
0
150
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
150
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
140
Other Decks in Technology
See All in Technology
Amplify Gen2でbackend.tsにCDKを定義する/しない事によるCDKの挙動の違いとユースケース
smt7174
1
250
AIレビューはどこまで任せられるのか?自動化と人が背負うレビューの境界
sansantech
PRO
3
880
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
610
kintone の AI コワーカーを、 Anthropic にエージェントを"ホストさせて"作った話 #devkinmeetup
sugimomoto
0
110
あなたの『Site』はどこですか? — xREという考え方
miyamu
0
1.2k
CIで使うClaude
iwatatomoya
0
270
“それは自分の仕事じゃない"を越えて行け
yuukiyo
1
370
美しいコードを書くためにF#を学んでみた話
yud0uhu
1
430
ローカルLLMとLINE Botの組み合わせ その3 / LINE DC Generative AI Meetup #8
you
PRO
0
130
個人開発で育てる「大規模設計の苗床」 - AI時代の1人開発から始める業務への知識接続 / The Seedbed for Large-Scale Design - From AI-Era Solo Projects to Professional Knowledge
bitkey
PRO
1
250
Claude Code 珍プレー好プレー
shinyasaita
0
330
ゴールデンパスは敷いただけでは道にならない ─ 企画部門のエンジニアが技術標準を事業価値に変えるまで
mhrtech
1
160
Featured
See All Featured
Abbi's Birthday
coloredviolet
3
8.6k
Between Models and Reality
mayunak
4
370
How GitHub (no longer) Works
holman
316
150k
Mind Mapping
helmedeiros
PRO
1
280
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
420
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.5k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Exploring anti-patterns in Rails
aemeredith
3
440
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
210
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.6k
The SEO Collaboration Effect
kristinabergwall1
1
500
Transcript
devise-two-factor を4.xから5.xに上 げた話 Kazuhiro NISHIYAMA 株式会社Ruby開発 大阪Ruby会議04 2024-08-24
self.introduction 西山 和広 Ruby のコミッター github など: @znz 株式会社Ruby開発 www.ruby-dev.jp
devise-two-factor とは? devise を TOTP の2要素認証に対 応するのに使う gem ユーザごとに以下のデータを保存 暗号化された
OTP シークレット (認証アプリに登録するもの) 使用済み OTP を区別できる情報 OTP が有効かどうか
4.x から 5.x への変更 下2個はそのままでいいが OTP シークレットの保存方法が変更 (再掲載) ユーザーごとに以下の データを保存
暗号化された OTP シークレット 使用済み OTP を区別できる情報 OTP が有効かどうか
4.x から 5.x への変更 4 は attr_encrypted gem encrypted_otp_secret, encrypted_otp_secret_iv,
encrypted_otp_secret_salt に Base64 でそれぞれ保存 5 は Rails 7+ 標準の encrypted attribute 暗号化したものを Base64 して JSON で otp_secret 1カラムに保存
更新手順 4 から 5 は Rails 6 から Rails 7
と同時に上げる必要あり https://github.com/devise-two-factor/ devise-two-factor/blob/main/ UPGRADING.md に手順あり ほとんど gem は複数の Rails に 対応していて独立して更新可能 今回はそうなっていない
なぜか? (推測) attr_encrypted gem と Rails 7 で #encrypted_attributes メ
ソッドが衝突する Rails 7 対応の attr_encrypted に 更新すると二度手間だから一気に 移行する手順になっている?
問題点 実運用環境なら Rails 7 に上げた 後に Rails 6 に戻す可能性もある のでは?
Rails 7 でユーザーの認証アプリと otp_secret だけが更新 → このまま Rails 6 に戻すと encrypted_* が古くて認証失敗 UPGRADING.md には戻す手順はない → 独自対応が必要
具体的には UPGRADING.md に legacy_otp_secret の実装例 公式の手順途中の動作 読み込み 新カラムが設定されていれば → otp_secret
なければ旧カラムを読む → legacy_otp_secret 書き込み は新しい otp_secret のみ
独自に書き込み対応 新しい otp_secret 書き込み時に legacy_otp_secret の逆手順で encrypted_* に同期 → legacy_otp_secret
でデコードした 結果が otp_secret と一致するのを確認 して自動テストも追加
手動ダウングレードテスト 実際に戻してみてテスト → うま く動かないので、さらに調査 → attr_encrypted が salt に
prefix と して _ をつける encode_salt オプショ ンがデフォルトで true Base64.decode64 は _ を無視する ので legacy_otp_secret は動く → 同期時に _ を prepend して解決
まとめ 非互換のダウングレード対応は新 バージョンでの互換メソッドの自 動テストだけでは不十分 手動でダウングレード確認も必須 その他の対応も場合分けして用意 例: ダウングレード中に encrypted_* だ
けが更新されて otp_secret が古くなる → otp_secret を nil に戻すタスク
宣伝 福岡Rubyist会議04 https:// regional.rubykaigi.org/fukuoka04/ 2024.09.07 Sat. 9:30–18:00 主催: Fukuoka.rb /
株式会社Ruby開発