Posts on それはそれとして

Hugoを最新化した

Mon, 20 Mar 2023 22:51:06 +0900

放置していたブログ環境を最新化した。Hugo のバージョンは 0.111.3 になった。

ブログ開設当初から見るとかなりバージョンアップを重ねている。すごい。かたやブログは放置している。

まあそれはそれとして、Netlify で正常にビルド可能かの確認も兼ねて投稿してみる。

名称とメインファイル名が異なる gem を gemfile に定義する方法

Fri, 26 Nov 2021 22:22:53 +0900

やること

bundler のドキュメントにも書いてあるが、以下のように require を用いることで .gemspec に定義されている名称とメインファイル名が異なる gem にも対応できる。

gem 'hoge-gem', :require => 'hoge'

使い所としては、fork した OSS の gem を改修して別名で公開したいが、ファイル名までは変えたくないとき等が考えられる。

静的型付け言語原理主義者によるRailsチュートリアル（第14章）

Wed, 20 May 2020 20:42:20 +0900

第14章ユーザーをフォローする

他のユーザーをフォロー/フォロー解除できるソーシャルな仕組みの追加と、フォローしているユーザーと投稿をステータスフィードに表示する機能を追加する

14.1 Relationship モデル

has_many の関連付けを用いて「1人のユーザーが複数のユーザーを has_many としてフォローし、1人のユーザーにフォロワーがいることを has_many で表す」という方法で実装はできそうだが、問題が発生する
- has_many through で解決

14.1.1 データモデルの問題（および解決策）

following と followers の関係性をリレーションシップというモデルで表現する

rails generate model Relationship follower_id:integer followed_id:integer

今後 follower_id と followed_id で頻繁に検索することになるので、それぞれのカラムにインデックスを追加する

class CreateRelationships < ActiveRecord::Migration[5.0]
  def change
    create_table :relationships do |t|
      t.integer :follower_id
      t.integer :followed_id

      t.timestamps
    end
    add_index :relationships, :follower_id
    add_index :relationships, :followed_id
    add_index :relationships, [:follower_id, :followed_id], unique: true
  end
end

follower_id と followed_id の組み合わせが必ずユニークであることを保証する仕組みである複合キーインデックスを使用している
- ユーザーが同じユーザーを2回以上フォローすることを防ぐ
relationship テーブルを作成するためにいつもの通りマイグレーション

14.1.2 User/Relationship の関連付け

1人のユーザーには has_many のリレーションシップがあり、このリレーションシップは2人のユーアー間の関係なので、フォローしているユーザーとフォロワーの両方に属する（ belongs_to ）
能動的関係に対して1対多（ has_many ）の関連付けを実装する

class User < ApplicationRecord
  has_many :microposts, dependent: :destroy
  has_many :active_relationships, class_name:  "Relationship",
                                  foreign_key: "follower_id",
                                  dependent:   :destroy
  .
  .
  .
end

リレーションシップ/フォロワーに対して belongs_to の関連付けを追加する

class Relationship < ApplicationRecord
  belongs_to :follower, class_name: "User"
  belongs_to :followed, class_name: "User"
end

14.1.3 Relationship のバリデーション

Relationship モデルのバリデーションをテストする

require 'test_helper'

class RelationshipTest < ActiveSupport::TestCase

  def setup
    @relationship = Relationship.new(follower_id: users(:michael).id,
                                     followed_id: users(:archer).id)
  end

  test "should be valid" do
    assert @relationship.valid?
  end

  test "should require a follower_id" do
    @relationship.follower_id = nil
    assert_not @relationship.valid?
  end

  test "should require a followed_id" do
    @relationship.followed_id = nil
    assert_not @relationship.valid?
  end
end

Relationship モデルに対してバリデーションを追加する

class Relationship < ApplicationRecord
  belongs_to :follower, class_name: "User"
  belongs_to :followed, class_name: "User"
  validates :follower_id, presence: true
  validates :followed_id, presence: true
end

User 用の fixture ファイルと同様に、生成された Relationship 用の fixutre ではマイグレーションで成約させた一意性を満たすことができないため、現時点では生成された Relationship 用の fixutre は空にしておく

14.1.4 フォローしているユーザー

has_many through を使って User モデルに following の関連付けを追加する

class User < ApplicationRecord
  has_many :microposts, dependent: :destroy
  has_many :active_relationships, class_name:  "Relationship",
                                  foreign_key: "follower_id",
                                  dependent:   :destroy
  has_many :following, through: :active_relationships, source: :followed
  .
  .
  .
end

これによりフォローしているユーザーを following という配列のように扱えるようになる
TDD で follow や unfollow というメソッドを作る
- following? メソッドであるユーザーを未フォローであることを確認
- follow メソッドでそのユーザーをフォロー
- following? メソッドでフォロー中になったことを確認
- unfollow メソッドでフォロー解除を確認
  - という手順で following 関連のメソッドをテストする


class UserTest < ActiveSupport::TestCase
  .
  .
  .
  test "should follow and unfollow a user" do
    michael = users(:michael)
    archer  = users(:archer)
    assert_not michael.following?(archer)
    michael.follow(archer)
    assert michael.following?(archer)
    michael.unfollow(archer)
    assert_not michael.following?(archer)
  end
end

上記テストを参考にして following 関連のメソッドを実装する

class User < ApplicationRecord
  .
  .
  .
  def feed
    .
    .
    .
  end

  # ユーザーをフォローする
  def follow(other_user)
    following << other_user
  end

  # ユーザーをフォロー解除する
  def unfollow(other_user)
    active_relationships.find_by(followed_id: other_user.id).destroy
  end

  # 現在のユーザーがフォローしてたらtrueを返す
  def following?(other_user)
    following.include?(other_user)
  end

  private
  .
  .
  .
end

これでテストが通る

14.1.5 フォロワー

user.following メソッドと対になる user.followers メソッドを追加する
- active_relationship テーブルを再利用し、受動的関係を使って実装する

class User < ApplicationRecord
  has_many :microposts, dependent: :destroy
  has_many :active_relationships,  class_name:  "Relationship",
                                   foreign_key: "follower_id",
                                   dependent:   :destroy
  has_many :passive_relationships, class_name:  "Relationship",
                                   foreign_key: "followed_id",
                                   dependent:   :destroy
  has_many :following, through: :active_relationships,  source: :followed
  has_many :followers, through: :passive_relationships, source: :follower
  .
  .
  .
end

followers.include? メソッドを使って followers に対するテストを追加する

require 'test_helper'

class UserTest < ActiveSupport::TestCase
  .
  .
  .
  test "should follow and unfollow a user" do
    michael  = users(:michael)
    archer   = users(:archer)
    assert_not michael.following?(archer)
    michael.follow(archer)
    assert michael.following?(archer)
    assert archer.followers.include?(michael)
    michael.unfollow(archer)
    assert_not michael.following?(archer)
  end
end

14.2 [Follow] の Web インターフェイス

フォロー/フォロー解除の基本的なインターフェイスを実装し、フォローしているユーザーと、フォロワーにそれぞれ表示用のページを作成する

14.2.1 フォローのサンプルデータ

サンプルデータを自動作成する rails db:seed を使って DB にサンプルデータを登録できると便利なので、サンプルデータに following/follower の関係性を追加する

# ユーザー
User.create!(name:  "Example User",
             email: "example@railstutorial.org",
             password:              "foobar",
             password_confirmation: "foobar",
             admin:     true,
             activated: true,
             activated_at: Time.zone.now)

99.times do |n|
  name  = Faker::Name.name
  email = "example-#{n+1}@railstutorial.org"
  password = "password"
  User.create!(name:  name,
               email: email,
               password:              password,
               password_confirmation: password,
               activated: true,
               activated_at: Time.zone.now)
end

# マイクロポスト
users = User.order(:created_at).take(6)
50.times do
  content = Faker::Lorem.sentence(5)
  users.each { |user| user.microposts.create!(content: content) }
end

# リレーションシップ
users = User.all
user  = users.first
following = users[2..50]
followers = users[3..40]
following.each { |followed| user.follow(followed) }
followers.each { |follower| follower.follow(user) }

DB 上のサンプルデータを作り直して完了

14.2.2 統計と [Follow] フォーム

サンプルユーザーにフォローしているユーザーとフォロワーができたので、プロフィールページと Home ページを更新してこれを反映する
- 最初にプロフィールページと Home ページにフォローしているユーザーとフォロワーの統計情報表示用のパーシャルを作成する
- 次にフォロー用とフォロー解除用のフォームを作成する
- 最後にフォローしているユーザーの一覧とフォロワーの一覧を表示するページを作成する
統計情報の表示はリンクなっており、専用の表示ページに移動できる
- Users コントローラに following アクションと followers アクションを追加してルーティングを実装する

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users do
    member do
      get :following, :followers
    end
  end
  resources :account_activations, only: [:edit]
  resources :password_resets,     only: [:new, :create, :edit, :update]
  resources :microposts,          only: [:create, :destroy]
end

ルーティングを定義したので、フォロワーの統計情報を表示するパーシャルを実装する

<% @user ||= current_user %>

  ">
    
      <%= @user.following.count %>
    
    following
  
  ">
    
      <%= @user.followers.count %>
    
    followers

統計情報パーシャルができあがったので、 Home ページにフォロワーの統計情報を表示する

<% if logged_in? %>
  
    
      
        <%= render 'shared/user_info' %>
      
      
        <%= render 'shared/stats' %>
      
      
        <%= render 'shared/micropost_form' %>
      
    
    
      Micropost Feed
      <%= render 'shared/feed' %>
    
  
<% else %>
  .
  .
  .
<% end %>

SCSS を追加してスタイルを整えて完成

14.2.2 統計と [Follow] フォーム

サンプルユーザーにフォローしているユーザーとフォロワーができたので、プロフィールページと Home ページを更新してこれを反映する
- 最初にプロフィールページと Home ページにフォローしているユーザーとフォロワーの統計情報表示用のパーシャルを作成する
- 次にフォロー用とフォロー解除用のフォームを作成する
- 最後にフォローしているユーザーの一覧とフォロワーの一覧を表示するページを作成する
統計情報の表示はリンクなっており、専用の表示ページに移動できる
- Users コントローラに following アクションと followers アクションを追加してルーティングを実装する

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users do
    member do
      get :following, :followers
    end
  end
  resources :account_activations, only: [:edit]
  resources :password_resets,     only: [:new, :create, :edit, :update]
  resources :microposts,          only: [:create, :destroy]
end

ルーティングを定義したので、フォロワーの統計情報を表示するパーシャルを実装する

<% @user ||= current_user %>

  ">
    
      <%= @user.following.count %>
    
    following
  
  ">
    
      <%= @user.followers.count %>
    
    followers

統計情報パーシャルができあがったので、 Home ページにフォロワーの統計情報を表示する

<% if logged_in? %>
  
    
      
        <%= render 'shared/user_info' %>
      
      
        <%= render 'shared/stats' %>
      
      
        <%= render 'shared/micropost_form' %>
      
    
    
      Micropost Feed
      <%= render 'shared/feed' %>
    
  
<% else %>
  .
  .
  .
<% end %>

SCSS を追加してスタイルを整えて完成
フォロー/フォロー解除フォームのパーシャルも作成しておく

<% unless current_user?(@user) %>
  
  <% if current_user.following?(@user) %>
    <%= render 'unfollow' %>
  <% else %>
    <%= render 'follow' %>
  <% end %>
  
<% end %>

上記コードは follow と unfollow のパーシャルに作業を振っているだけ
パーシャルでは Relationship リソース用の新しいルーティングが必要

Rails.application.routes.draw do
  root                'static_pages#home'
  get    'help'    => 'static_pages#help'
  get    'about'   => 'static_pages#about'
  get    'contact' => 'static_pages#contact'
  get    'signup'  => 'users#new'
  get    'login'   => 'sessions#new'
  post   'login'   => 'sessions#create'
  delete 'logout'  => 'sessions#destroy'
  resources :users do
    member do
      get :following, :followers
    end
  end
  resources :account_activations, only: [:edit]
  resources :password_resets,     only: [:new, :create, :edit, :update]
  resources :microposts,          only: [:create, :destroy]
  resources :relationships,       only: [:create, :destroy]
end

フォロー用のパーシャル（ユーザーをフォローするフォーム）

<%= form_for(current_user.active_relationships.build) do |f| %>
  <%= hidden_field_tag :followed_id, @user.id %>
  <%= f.submit "Follow", class: "btn btn-primary" %>
<% end %>

フォロー解除用のパーシャル（ユーザーをフォロー解除するフォーム）

<%= form_for(current_user.active_relationships.find_by(followed_id: @user.id),
             html: { method: :delete }) do |f| %>
  <%= f.submit "Unfollow", class: "btn" %>
<% end %>

最後にプロフィールページにフォロー用フォームとフォロワーの統計情報を追加する

<% provide(:title, @user.name) %>

  
    
      
        <%= gravatar_for @user %>
        <%= @user.name %>
      
    
    
      <%= render 'shared/stats' %>
    
  
  
    <%= render 'follow_form' if logged_in? %>
    <% if @user.microposts.any? %>
      Microposts (<%= @user.microposts.count %>)
      
        <%= render @microposts %>
      
      <%= will_paginate @microposts %>
    <% end %>

14.2.3 [Following] と [Followers] ページ

フォローしているユーザーを表示するページとフォロワーを表示するページは、いずれもプロフィールページとユーザー一覧ページを合わせたような作りになるという点で似ている
まずはフォローしているユーザーのリンクとフォロワーのリンクを動くようにする
- どちらのページでもログインを要求する
- まずはテストから

require 'test_helper'

class UsersControllerTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
    @other_user = users(:archer)
  end
  .
  .
  .
  test "should redirect following when not logged in" do
    get following_user_path(@user)
    assert_redirected_to login_url
  end

  test "should redirect followers when not logged in" do
    get followers_user_path(@user)
    assert_redirected_to login_url
  end
end

Users コントローラに2つの新しいアクションを追加する必要がある
- ルーティングに基づいた following 及び followers アクション

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:index, :edit, :update, :destroy,
                                        :following, :followers]
  .
  .
  .
  def following
    @title = "Following"
    @user  = User.find(params[:id])
    @users = @user.following.paginate(page: params[:page])
    render 'show_follow'
  end

  def followers
    @title = "Followers"
    @user  = User.find(params[:id])
    @users = @user.followers.paginate(page: params[:page])
    render 'show_follow'
  end

  private
  .
  .
  .
end

フォローしているユーザーとフォロワーの両方を表示する show_follow ビューを作成する

<% provide(:title, @title) %>

  
    
      <%= gravatar_for @user %>
      <%= @user.name %>
      <%= link_to "view my profile", @user %>
      Microposts: <%= @user.microposts.count %>
    
    
      <%= render 'shared/stats' %>
      <% if @users.any? %>
        
          <% @users.each do |user| %>
            <%= link_to gravatar_for(user, size: 30), user %>
          <% end %>
        
      <% end %>
    
  
  
    <%= @title %>
    <% if @users.any? %>
      
        <%= render @users %>
      
      <%= will_paginate %>
    <% end %>

show_follow の描画結果を確認するための統合テストを書いていく
Relationship 用の fixture にテストデータを追加し、following/follower ページをテストする

require 'test_helper'

class FollowingTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
    log_in_as(@user)
  end

  test "following page" do
    get following_user_path(@user)
    assert_not @user.following.empty?
    assert_match @user.following.count.to_s, response.body
    @user.following.each do |user|
      assert_select "a[href=?]", user_path(user)
    end
  end

  test "followers page" do
    get followers_user_path(@user)
    assert_not @user.followers.empty?
    assert_match @user.followers.count.to_s, response.body
    @user.followers.each do |user|
      assert_select "a[href=?]", user_path(user)
    end
  end
end

14.2.4 [Follow] ボタン (基本編)

[Follow]/[Unfollow] ボタンを動作させるため、まずは Relationship コントローラを作成する
まずはリレーションシップの基本的なアクセス制御に対するテストを書く

require 'test_helper'

class RelationshipsControllerTest < ActionDispatch::IntegrationTest

  test "create should require logged-in user" do
    assert_no_difference 'Relationship.count' do
      post relationships_path
    end
    assert_redirected_to login_url
  end

  test "destroy should require logged-in user" do
    assert_no_difference 'Relationship.count' do
      delete relationship_path(relationships(:one))
    end
    assert_redirected_to login_url
  end
end

次に logged_in_user フィルターを Relationships コントローラのアクションに対して追加し、リレーションシップのアクセス制御を行う
[Follow]/[Unfollow] ボタンを動作させるには、フォームから送信されたパラメータを使って followed_id に対応するユーザーを見つけてくる必要がある
- その後見つけてきたユーザーに対して follow / unfollow メソッドを使う

class RelationshipsController < ApplicationController
  before_action :logged_in_user

  def create
    user = User.find(params[:followed_id])
    current_user.follow(user)
    redirect_to user
  end

  def destroy
    user = Relationship.find(params[:id]).followed
    current_user.unfollow(user)
    redirect_to user
  end
end

14.2.5 [Follow] ボタン (Ajax編)

ユーザーをフォローした後、ページから離れて元のページに戻る仕様が微妙
- Ajax で解決できる
  - Web ページからサーバーに非同期でページを移動することなくリクエストを送信可能
フォローフォームを Ajax 使用に変更する

<%= form_for(current_user.active_relationships.build, remote: true) do |f| %>
  <%= hidden_field_tag :followed_id, @user.id %>
  <%= f.submit "Follow", class: "btn btn-primary" %>
<% end %>

フォロー解除フォームを Ajax 使用に変更する

<%= form_for(current_user.active_relationships.find_by(followed_id: @user.id),
             html: { method: :delete },
             remote: true) do |f| %>
  <%= f.submit "Unfollow", class: "btn" %>
<% end %>

フォームの更新が終わったので、これに対応する Relationship コントローラを Ajax リクエストに対応できるようにする

class RelationshipsController < ApplicationController
  before_action :logged_in_user

  def create
    @user = User.find(params[:followed_id])
    current_user.follow(@user)
    respond_to do |format|
      format.html { redirect_to @user }
      format.js
    end
  end

  def destroy
    @user = Relationship.find(params[:id]).followed
    current_user.unfollow(@user)
    respond_to do |format|
      format.html { redirect_to @user }
      format.js
    end
  end
end

ブラウザ側で JavaScript が無効になっていた場合も動作するようにする

require File.expand_path('../boot', __FILE__)
.
.
.
module SampleApp
  class Application < Rails::Application
    .
    .
    .
    # 認証トークンをremoteフォームに埋め込む
    config.action_view.embed_authenticity_token_in_remote_forms = true
  end
end

プロフィールページを更新させずにフォローできるようにする
- JavaScript と埋め込み Ruby を使ってフォローの関係性を作成する
- create.js.erb と destroy.js.erb を更新

14.2.6 フォローをテストする

フォローボタンが動くようになったので、テストを書いていく

require 'test_helper'

class FollowingTest < ActionDispatch::IntegrationTest

  def setup
    @user  = users(:michael)
    @other = users(:archer)
    log_in_as(@user)
  end
  .
  .
  .
  test "should follow a user the standard way" do
    assert_difference '@user.following.count', 1 do
      post relationships_path, params: { followed_id: @other.id }
    end
  end

  test "should follow a user with Ajax" do
    assert_difference '@user.following.count', 1 do
      post relationships_path, xhr: true, params: { followed_id: @other.id }
    end
  end

  test "should unfollow a user the standard way" do
    @user.follow(@other)
    relationship = @user.active_relationships.find_by(followed_id: @other.id)
    assert_difference '@user.following.count', -1 do
      delete relationship_path(relationship)
    end
  end

  test "should unfollow a user with Ajax" do
    @user.follow(@other)
    relationship = @user.active_relationships.find_by(followed_id: @other.id)
    assert_difference '@user.following.count', -1 do
      delete relationship_path(relationship), xhr: true
    end
  end
end

14.3 ステータスフィード

現在のユーザーにフォローされているユーザーのマイクロポストの配列を作成し、現在のユーザー自身のマイクロポストと合わせて表示する

14.3.1 動機と計画

現在のユーザーによってフォローされているユーザーに対応するユーザー id を持つマイクロポストを取り出し、同時に現在のユーザー自身のマイクロポストも一緒に取り出すことが目的
以下の条件を満たすテストを書いていく
- フォローしているユーザーのマイクロポストがフィードに含まれていること
- 自分自身のマイクロポストもフィードに含まれていること
- フォローしていないユーザーのマイクロポストがフィードに含まれていないこと

require 'test_helper'

class UserTest < ActiveSupport::TestCase
  .
  .
  .
  test "feed should have the right posts" do
    michael = users(:michael)
    archer  = users(:archer)
    lana    = users(:lana)
    # フォローしているユーザーの投稿を確認
    lana.microposts.each do |post_following|
      assert michael.feed.include?(post_following)
    end
    # 自分自身の投稿を確認
    michael.microposts.each do |post_self|
      assert michael.feed.include?(post_self)
    end
    # フォローしていないユーザーの投稿を確認
    archer.microposts.each do |post_unfollowed|
      assert_not michael.feed.include?(post_unfollowed)
    end
  end
end

14.3.2 フィードを初めて実装する

ここでは microposts テーブルからあるユーザーがフォローしているユーザーに対する id を持つマイクロポストをすべて選択するクエリが必要

class User < ApplicationRecord
  .
  .
  .
  # パスワード再設定の期限が切れている場合はtrueを返す
  def password_reset_expired?
    reset_sent_at < 2.hours.ago
  end

  # ユーザーのステータスフィードを返す
  def feed
    Micropost.where("user_id IN (?) OR user_id = ?", following_ids, id)
  end

  # ユーザーをフォローする
  def follow(other_user)
    following << other_user
  end
  .
  .
  .
end

14.3.3 サブセレクト

今のつくりだとユーザーが5000人程度になると Web サービス全体が遅くなる可能性があるので、改善していく
where メソッド内の変数にキーと値のペアを使い、DB への問い合わせ数を減らす

class User < ApplicationRecord
  .
  .
  .
  # ユーザーのステータスフィードを返す
  def feed
    Micropost.where("user_id IN (:following_ids) OR user_id = :user_id",
     following_ids: following_ids, user_id: id)
  end
  .
  .
  .
end

ここからさらに following_ids を SQLに置き換えて最終的な実装とする

class User < ApplicationRecord
  .
  .
  .
  # ユーザーのステータスフィードを返す
  def feed
    following_ids = "SELECT followed_id FROM relationships
                     WHERE follower_id = :user_id"
    Micropost.where("user_id IN (#{following_ids})
                     OR user_id = :user_id", user_id: id)
  end
  .
  .
  .
end

サンプルアプリケーションの完成！

14.4 最後に

完成したよ！！

所感

チマチマと進めていた Rails チュートリアルもようやく終わった。最後はちょっと飽きてきていたものの、とりあえず完走できたので良かった。

Rails に対する悪評はよく耳にしていたが、用法用量を守って Rails の機能を使わないと振り回されてしまう点や、密に結合したMVCのアーキテクチャと継続的に変更を加えていくプロダクト開発との相性が悪そうな点が、その悪評の根底にあるのかなと本チュートリアルを通して認識できた。Rails が悪いのではなく、Rails を正しく使えない自分が悪い、という話なのだと思う。

元々は自社のプロダクトコードをより理解したいという動機で始めた本チュートリアルだったので、これから戦場に飛び込んでみよう。いざ参らん。

静的型付け言語原理主義者によるRailsチュートリアル（第13章）

Thu, 30 Apr 2020 21:32:57 +0900

第13章ユーザーのマイクロポスト

ユーザーが短いメッセージを投稿できるようにするためのリソースであるマイクロポストを追加していく
- Micropost データモデルを作成
- User モデルと has_many および belong_to メソッドを使って関連付けを行う
- 結果を処理し表示するために必要なフォームとその部品を作成する

13.1 Micropost モデル

まずはモデルを作成するところから

13.1.1 基本的なモデル

マイクロポストの内容を保存する content 属性と、特定のユーザーとマイクロポストを関連付ける user_id 属性の2つの属性だけを持つ Micropost モデルを生成する

rails generate model Micropost content:text user:references

user:reference の引数により、生成されたモデルには belongs_to のコードも追加されている
reference 型を使うことにより、自動的にインデックスと外部キー参照付きの user_id カラムが追加され、User と Micropost を関連付ける下準備をしてくれる
- つよつよでは
user_id に関連付けられたすべてのマイクロポストを作成時刻の逆順で取り出しやすくするために、user_id と created_at カラムにインデックスを付与する

class CreateMicroposts < ActiveRecord::Migration[5.0]
  def change
    create_table :microposts do |t|
      t.text :content
      t.references :user, foreign_key: true

      t.timestamps
    end
    add_index :microposts, [:user_id, :created_at]
  end
end

以上をもってマイグレーションを実施

13.1.2 Micropost のマイグレーション

まずは Micropost モデル単体を TDD で動くようにしてみる
setup で fixture のサンプルユーザーと紐付けた新しいマイクロポストを作成し、その有効性をチェックしする
- あらゆるマイクロポストはユーザーの id を持っているべきなので、user_id の存在性バリデーションに対するテストも追加する

require 'test_helper'

class MicropostTest < ActiveSupport::TestCase

  def setup
    @user = users(:michael)
    # このコードは慣習的に正しくない
    @micropost = Micropost.new(content: "Lorem ipsum", user_id: @user.id)
  end

  test "should be valid" do
    assert @micropost.valid?
  end

  test "user id should be present" do
    @micropost.user_id = nil
    assert_not @micropost.valid?
  end
end

1つ目のテストでは正常な状態かどうかをテストしている
2つ目のテストでは user_id が存在しているかどうかをテストしている
- パスするために存在性のバリデーションを追加する

class Micropost < ActiveRecord::Base
  belongs_to :user
  validates :user_id, presence: true
end

Rails5 では上記バリデーションを追加せずともテストが通ってしまう
- 慣習的に正しくないコードを書いた場合のみ発生する
  - そんな慣習に依存する仕様はどうなのよ。。。
次にマイクロポストの content 属性に対するバリデーションを追加する
- 存在必然性の制限と、140文字より長くならないようにする制限を加える
  - TDD スタイルで

require 'test_helper'

class MicropostTest < ActiveSupport::TestCase

  def setup
    @user = users(:michael)
    @micropost = Micropost.new(content: "Lorem ipsum", user_id: @user.id)
  end

  test "should be valid" do
    assert @micropost.valid?
  end

  test "user id should be present" do
    @micropost.user_id = nil
    assert_not @micropost.valid?
  end

  test "content should be present" do
    @micropost.content = "   "
    assert_not @micropost.valid?
  end

  test "content should be at most 140 characters" do
    @micropost.content = "a" * 141
    assert_not @micropost.valid?
  end
end

アプリケーション側の実装を対応させる

class Micropost < ApplicationRecord
  belongs_to :user
  validates :user_id, presence: true
  validates :content, presence: true, length: { maximum: 140 }
end

13.1.3 User/Micropost の関連付け

それぞれのマイクロポストは1人のユーザーと関連付けられ、それぞれのユーザーは複数のマイクロポストと関連付けられる
マイクロポストがユーザーに所属するための関連付けはマイグレーションによって自動生成されているが、ユーザーがマイクロポストを複数所有できるようにする関連付けは手動で行う必要がある

class User < ApplicationRecord
  has_many :microposts
  .
  .
  .
end

正しく関連付けができたら、慣習的に正しくマイクロポストを作成する

require 'test_helper'

class MicropostTest < ActiveSupport::TestCase

  def setup
    @user = users(:michael)
    @micropost = @user.microposts.build(content: "Lorem ipsum")
  end

  test "should be valid" do
    assert @micropost.valid?
  end

  test "user id should be present" do
    @micropost.user_id = nil
    assert_not @micropost.valid?
  end
  .
  .
  .
end

13.1.4 マイクロポストを改良する

User と Micropost の関連付けを改良していく
- ユーザーのマイクロポストを特定の順序で取得できるようにする
- マイクロポストをユーザーに依存させ、ユーザー削除に伴ってマイクロポストも自動削除されるようにする

デフォルトのスコープ

user.microposts メソッドはデフォルトでは読み出しの順序に対して何も保証しないので、最新のものを先頭表示するようにしてみる
例によって TDD で
- DB 上の最初のマイクロポストが fixture 内のマイクロポストと同じであるか

require 'test_helper'

class MicropostTest < ActiveSupport::TestCase
  .
  .
  .
  test "order should be most recent first" do
    assert_equal microposts(:most_recent), Micropost.first
  end
end

上記に対応した fixture ファイルも用意しておく
この状態ではテストが失敗するので、default_scope でマイクロポストの順序を変更する

class Micropost < ApplicationRecord
  belongs_to :user
  default_scope -> { order(created_at: :desc) }
  validates :user_id, presence: true
  validates :content, presence: true, length: { maximum: 140 }
end

Dependent: destroy

サイト管理者はユーザーを廃棄する権限を持つので、ユーザーのは気に伴ってマイクロポストも破棄する

class User < ApplicationRecord
  has_many :microposts, dependent: :destroy
  .
  .
  .
end

dependent: :destroy オプションを使うと、ユーザー削除時にそのユーザーに紐付いたマイクロポストも一緒に削除されるようになる
- DB に所有者不明のマイクロポストが残ってしまうのを防ぐ
  - こういう不正データ対応は大事よね。。。
dependent: :destroy が機能するか User モデルを検証する

require 'test_helper'

class UserTest < ActiveSupport::TestCase

  def setup
    @user = User.new(name: "Example User", email: "user@example.com",
                     password: "foobar", password_confirmation: "foobar")
  end
  .
  .
  .
  test "associated microposts should be destroyed" do
    @user.save
    @user.microposts.create!(content: "Lorem ipsum")
    assert_difference 'Micropost.count', -1 do
      @user.destroy
    end
  end
end

13.2 マイクロポストを表示する

ユーザーの show ページで直接マイクロポストを表示させる

13.2.1 マイクロポストの描画

まずは Micropost のコントローラとビューを作成するために、コントローラを生成する
1つのマイクロポストを表示するパーシャルは以下のようになる

">
  <%= link_to gravatar_for(micropost.user, size: 50), micropost.user %>
  <%= link_to micropost.user.name, micropost.user %>
  <%= micropost.content %>
  
    Posted <%= time_ago_in_words(micropost.created_at) %> ago.

一度にすべてのマイクロポストが表示されてしまう問題に対処する
- @microposts 変数を Users コントローラの show アクションで明示的に will_paginate に渡す

class UsersController < ApplicationController
  .
  .
  .
  def show
    @user = User.find(params[:id])
    @microposts = @user.microposts.paginate(page: params[:page])
  end
  .
  .
  .
end

最後に投稿数表示を加味してマイクロポストをユーザーの show ページに追加する

<% provide(:title, @user.name) %>

  
    
      
        <%= gravatar_for @user %>
        <%= @user.name %>
      
    
  
  
    <% if @user.microposts.any? %>
      Microposts (<%= @user.microposts.count %>)
      
        <%= render @microposts %>
      
      <%= will_paginate @microposts %>
    <% end %>

この時点ではまだマイクロポストがないので何も表示されない

13.2.2 マイクロポストのサンプル

サンプルデータにマイクロポストを追加する

.
.
users = User.order(:created_at).take(6)
50.times do
  content = Faker::Lorem.sentence(5)
  users.each { |user| user.microposts.create!(content: content) }
end

開発環境用の DB で再度サンプルデータを生成する
サンプルデータから生成されたページにはマイクロポスト固有のスタイルが与えられていないので、CSSを適用する

13.2.3 プロフィール画面のマイクロポストをテストする

プロフィール画面で表示されるマイクロポストに対して統合テストを書いていく
プロフィール画面におけるマイクロポストをテストするために、ユーザーと関連付けられたマイクロポストの fixture を追加する

orange:
  content: "I just ate an orange!"
  created_at: <%= 10.minutes.ago %>
  user: michael

tau_manifesto:
  content: "Check out the @tauday site by @mhartl: http://tauday.com"
  created_at: <%= 3.years.ago %>
  user: michael

cat_video:
  content: "Sad cats are sad: http://youtu.be/PKffm2uI4dk"
  created_at: <%= 2.hours.ago %>
  user: michael

most_recent:
  content: "Writing a short test"
  created_at: <%= Time.zone.now %>
  user: michael

<% 30.times do |n| %>
micropost_<%= n %>:
  content: <%= Faker::Lorem.sentence(5) %>
  created_at: <%= 42.days.ago %>
  user: michael
<% end %>

上記データを用いてテストを実装する
- プロフィール画面にアクセスし
- ページタイトルとユーザー名、Gravatar、マイクロポストの投稿数、ページ分割されたマイクロポストという順でテストしていく

require 'test_helper'

class UsersProfileTest < ActionDispatch::IntegrationTest
  include ApplicationHelper

  def setup
    @user = users(:michael)
  end

  test "profile display" do
    get user_path(@user)
    assert_template 'users/show'
    assert_select 'title', full_title(@user.name)
    assert_select 'h1', text: @user.name
    assert_select 'h1>img.gravatar'
    assert_match @user.microposts.count.to_s, response.body
    assert_select 'div.pagination'
    @user.microposts.paginate(page: 1).each do |micropost|
      assert_match micropost.content, response.body
    end
  end
end

13.3 マイクロポストを操作する

データモデリングとマイクロポスト表示テンプレートが完成したので、次は Web 経由でそれらを作成するためのインターフェイスに取り掛かる
Micropost リソースへのインターフェースは、主にプロフィールページと Home ページのコントローラを経由して実行されるので、Micropost コントローラには new や edit のようなアクションは不要になる
- create と destroy があれば十分なので、マイクロポストリソースのルーティングは以下のようになる

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users
  resources :account_activations, only: [:edit]
  resources :password_resets,     only: [:new, :create, :edit, :update]
  resources :microposts,          only: [:create, :destroy]
end

13.3.1 マイクロポストのアクセス制御

関連付けられたユーザーを通してマイクロポストにアクセスするので、create アクションや destroy アクションを利用するユーザーはログイン済みでなければならない
ログイン済みかどうかを確かめるテストでは、正しいリクエストを各アクションに向けて発行し、マイクロポストの数が変化していないかどうか、またリダイレクトされていないかどうかを確かめればよい

require 'test_helper'

class MicropostsControllerTest < ActionDispatch::IntegrationTest

  def setup
    @micropost = microposts(:orange)
  end

  test "should redirect create when not logged in" do
    assert_no_difference 'Micropost.count' do
      post microposts_path, params: { micropost: { content: "Lorem ipsum" } }
    end
    assert_redirected_to login_url
  end

  test "should redirect destroy when not logged in" do
    assert_no_difference 'Micropost.count' do
      delete micropost_path(@micropost)
    end
    assert_redirected_to login_url
  end
end

テストを通すためにリファクタリングをする
logged_in_user メソッドを Application コントローラに移す

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception
  include SessionsHelper

  private

    # ユーザーのログインを確認する
    def logged_in_user
      unless logged_in?
        store_location
        flash[:danger] = "Please log in."
        redirect_to login_url
      end
    end
end

コードが重複しないように Users コントローラからも logged_in_user を削除する
これで Microposts コントローラからも logged_in_user メソッドを呼び出せるようになったので、create アクションや destroy アクションに対するアクセス制限が before フィルターで簡単に実装できるようになる

class MicropostsController < ApplicationController
  before_action :logged_in_user, only: [:create, :destroy]

  def create
  end

  def destroy
  end
end

13.3.2 マイクロポストを作成する

micropost/new ページを使う代わりに、ホーム画面（ルートパス）にフォームを置いてマイクロポストを作成する
マイクロポストの create アクションを作る
- 新しいマイクロポストを build するために User/Micropost 関連付けを使用する

class MicropostsController < ApplicationController
  before_action :logged_in_user, only: [:create, :destroy]

  def create
    @micropost = current_user.microposts.build(micropost_params)
    if @micropost.save
      flash[:success] = "Micropost created!"
      redirect_to root_url
    else
      render 'static_pages/home'
    end
  end

  def destroy
  end

  private

    def micropost_params
      params.require(:micropost).permit(:content)
    end
end

マイクロポスト作成フォームを構築するために、サイト訪問者がログインしているかどうかに応じて異なる HTML を提供する

<% if logged_in? %>
  
    
      
        <%= render 'shared/user_info' %>
      
      
        <%= render 'shared/micropost_form' %>
      
    
  
<% else %>
  
    Welcome to the Sample App

    
      This is the home page for the
      Ruby on Rails Tutorial
      sample application.
    

    <%= link_to "Sign up now!", signup_path, class: "btn btn-lg btn-primary" %>
  

  <%= link_to image_tag("rails.png", alt: "Rails logo"),
              'http://rubyonrails.org/' %>
<% end %>

上記コードを動かすためにサイドバーで表示するユーザー情報のパーシャルを作成する

<%= link_to gravatar_for(current_user, size: 50), current_user %>
<%= current_user.name %>
<%= link_to "view my profile", current_user %>
<%= pluralize(current_user.microposts.count, "micropost") %>

マイクロポスト作成フォームも定義する

<%= form_for(@micropost) do |f| %>
  <%= render 'shared/error_messages', object: f.object %>
  
    <%= f.text_area :content, placeholder: "Compose new micropost..." %>
  
  <%= f.submit "Post", class: "btn btn-primary" %>
<% end %>

上記コードを動かすために、home アクションにマイクロポストのインスタンス変数を追加する

class StaticPagesController < ApplicationController

  def home
    @micropost = current_user.microposts.build if logged_in?
  end

  def help
  end

  def about
  end

  def contact
  end
end

@micropost 変数はログインしているときのみ定義される
マイクロポスト投稿フォームのパーシャルを動かすために、エラーメッセージのパーシャルを再定義する必要もある
- User オブジェクト以外でも動作するように error_message パーシャルを更新する

<% if object.errors.any? %>
  
    
      The form contains <%= pluralize(object.errors.count, "error") %>.
    
    
    <% object.errors.full_messages.each do |msg| %>
      <%= msg %>
    <% end %>
    
  
<% end %>

このパーシャルは他の場所でも使用されているので、テストは失敗する
- ユーザー登録、パスワード再設定、ユーザー編集のそれぞれのビューを更新すればテストは通る

13.3.3 フィードの原型

Home ページにマイクロポストを表示する部分が実装されていないので、まだ投稿内容をすぐに見ることはできない
投稿後にマイクロポストをフィードを表示する
User モデルに feed メソッドを作り、マイクロポストのステータスフィードを実装する準備を行う

class User < ApplicationRecord
  .
  .
  .
  # 試作feedの定義
  # 完全な実装は次章の「ユーザーをフォローする」を参照
  def feed
    Micropost.where("user_id = ?", id)
  end

    private
    .
    .
    .
end

フィード機能導入のため、home アクションにフィードのインスタンス変数を追加する

class StaticPagesController < ApplicationController

  def home
    if logged_in?
      @micropost  = current_user.microposts.build
      @feed_items = current_user.feed.paginate(page: params[:page])
    end
  end

  def help
  end

  def about
  end

  def contact
  end
end

Home ページのフィード用パーシャルは以下

<% if @feed_items.any? %>
  
    <%= render @feed_items %>
  
  <%= will_paginate @feed_items %>
<% end %>

Home ページにステータスフィードを追加する

<% if logged_in? %>
  
    
      
        <%= render 'shared/user_info' %>
      
      
        <%= render 'shared/micropost_form' %>
      
    
    
      Micropost Feed
      <%= render 'shared/feed' %>
    
  
<% else %>
  .
  .
  .
<% end %>

マイクロポスト投稿に失敗すると Home ページが @feed_items インスタンスを保持しているので壊れてしまう
- 空の配列を渡しておけば回避できる

class MicropostsController < ApplicationController
  before_action :logged_in_user, only: [:create, :destroy]

  def create
    @micropost = current_user.microposts.build(micropost_params)
    if @micropost.save
      flash[:success] = "Micropost created!"
      redirect_to root_url
    else
      @feed_items = []
      render 'static_pages/home'
    end
  end

  def destroy
  end

  private

    def micropost_params
      params.require(:micropost).permit(:content)
    end
end

13.3.4 マイクロポストを削除する

自分が投稿したマイクロポストに対してのみ削除リンクが動作するようにする
マイクロポストのパーシャルに削除リンクを追加する

">
  <%= link_to gravatar_for(micropost.user, size: 50), micropost.user %>
  <%= link_to micropost.user.name, micropost.user %>
  <%= micropost.content %>
  
    Posted <%= time_ago_in_words(micropost.created_at) %> ago.
    <% if current_user?(micropost.user) %>
      <%= link_to "delete", micropost, method: :delete,
                                       data: { confirm: "You sure?" } %>
    <% end %>

次に Micropost コントローラの destroy アクションを定義する

class MicropostsController < ApplicationController
  before_action :logged_in_user, only: [:create, :destroy]
  before_action :correct_user,   only: :destroy
  .
  .
  .
  def destroy
    @micropost.destroy
    flash[:success] = "Micropost deleted"
    redirect_to request.referrer || root_url
  end

  private

    def micropost_params
      params.require(:micropost).permit(:content)
    end

    def correct_user
      @micropost = current_user.microposts.find_by(id: params[:id])
      redirect_to root_url if @micropost.nil?
    end
end

13.3.5 フィード画面のマイクロポストをテストする

マイクロポスト用の fixture に別々のユーザーに紐付けられたマイクロポストを追加していく
次に自分以外のユーザーのマイクロポストを削除しようとすると、適切にリダイレクトされることを確認する

require 'test_helper'

class MicropostsControllerTest < ActionDispatch::IntegrationTest

  def setup
    @micropost = microposts(:orange)
  end

  test "should redirect create when not logged in" do
    assert_no_difference 'Micropost.count' do
      post microposts_path, params: { micropost: { content: "Lorem ipsum" } }
    end
    assert_redirected_to login_url
  end

  test "should redirect destroy when not logged in" do
    assert_no_difference 'Micropost.count' do
      delete micropost_path(@micropost)
    end
    assert_redirected_to login_url
  end

  test "should redirect destroy for wrong micropost" do
    log_in_as(users(:michael))
    micropost = microposts(:ants)
    assert_no_difference 'Micropost.count' do
      delete micropost_path(micropost)
    end
    assert_redirected_to root_url
  end
end

最後にマイクロポストのUIに対する統合テストを書く
- ログイン
- マイクロポストのページ分割の確認
- 無効なマイクロポストを投稿
- 有効なマイクロポストを投稿
- マイクロポストの削除
- 他のユーザーのマイクロポストには[delete]リンクが表示されないことを確認

require 'test_helper'

class MicropostsInterfaceTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end

  test "micropost interface" do
    log_in_as(@user)
    get root_path
    assert_select 'div.pagination'
    # 無効な送信
    assert_no_difference 'Micropost.count' do
      post microposts_path, params: { micropost: { content: "" } }
    end
    assert_select 'div#error_explanation'
    # 有効な送信
    content = "This micropost really ties the room together"
    assert_difference 'Micropost.count', 1 do
      post microposts_path, params: { micropost: { content: content } }
    end
    assert_redirected_to root_url
    follow_redirect!
    assert_match content, response.body
    # 投稿を削除する
    assert_select 'a', text: 'delete'
    first_micropost = @user.microposts.paginate(page: 1).first
    assert_difference 'Micropost.count', -1 do
      delete micropost_path(first_micropost)
    end
    # 違うユーザーのプロフィールにアクセス (削除リンクがないことを確認)
    get user_path(users(:archer))
    assert_select 'a', text: 'delete', count: 0
  end
end

13.4 マイクロポストの画像投稿

画像つきマイクロポストを投稿できるようにする
- 画像アップロード用フォームと投稿された画像そのものという2つの視覚的要素が必要

13.4.1 基本的な画像アップロード

CarrierWave という画像アップローダーを Gemfile に追加していつものように bundle install
- 失敗するので gem fog を gem fog-aws にしてゴリ押しで進める
CarrierWave により Rails のジェネレーターで画像アップローダーが生成できる
必要となる picture 属性を Micropost モデルに追加するためにマイグレーションファイルを生成して開発環境の DB に適用する
Micropost モデルにアップローダーを追加する

class Micropost < ApplicationRecord
  belongs_to :user
  default_scope -> { order(created_at: :desc) }
  mount_uploader :picture, PictureUploader
  validates :user_id, presence: true
  validates :content, presence: true, length: { maximum: 140 }
end

マイクロポスト投稿フォームに画像アップローダーを追加する

<%= form_for(@micropost) do |f| %>
  <%= render 'shared/error_messages', object: f.object %>
  
    <%= f.text_area :content, placeholder: "Compose new micropost..." %>
  
  <%= f.submit "Post", class: "btn btn-primary" %>
  
    <%= f.file_field :picture %>
  
<% end %>

最後に Web から更新できる許可リストに picture 属性を追加する

class MicropostsController < ApplicationController
  before_action :logged_in_user, only: [:create, :destroy]
  before_action :correct_user,   only: :destroy
  .
  .
  .
  private

    def micropost_params
      params.require(:micropost).permit(:content, :picture)
    end

    def correct_user
      @micropost = current_user.microposts.find_by(id: params[:id])
      redirect_to root_url if @micropost.nil?
    end
end

さらに、マイクロポストの画像表示を追加する

">
  <%= link_to gravatar_for(micropost.user, size: 50), micropost.user %>
  <%= link_to micropost.user.name, micropost.user %>
  
    <%= micropost.content %>
    <%= image_tag micropost.picture.url if micropost.picture? %>
  
  
    Posted <%= time_ago_in_words(micropost.created_at) %> ago.
    <% if current_user?(micropost.user) %>
      <%= link_to "delete", micropost, method: :delete,
                                       data: { confirm: "You sure?" } %>
    <% end %>

13.4.2 画像の検証

画像サイズやフォーマットに対するバリデーションを実装する
画像フォーマットのバリデーションは CarrierWave を修正する

class PictureUploader < CarrierWave::Uploader::Base
  storage :file

  # アップロードファイルの保存先ディレクトリは上書き可能
  # 下記はデフォルトの保存先
  def store_dir
    "uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
  end

  # アップロード可能な拡張子のリスト
  def extension_whitelist
    %w(jpg jpeg gif png)
  end
end

画像サイズについては Micropost モデルにバリデーションを追加する

class Micropost < ApplicationRecord
  belongs_to :user
  default_scope -> { order(created_at: :desc) }
  mount_uploader :picture, PictureUploader
  validates :user_id, presence: true
  validates :content, presence: true, length: { maximum: 140 }
  validate  :picture_size

  private

    # アップロードされた画像のサイズをバリデーションする
    def picture_size
      if picture.size > 5.megabytes
        errors.add(:picture, "should be less than 5MB")
      end
    end
end

フロント側にもバリデーションを追加する
- 拡張子チェックを追加
- ファイルサイズは jQuery でチェックする
  - 令和になっても jQuery を使うときが来るとはな…

<%= form_for(@micropost) do |f| %>
  <%= render 'shared/error_messages', object: f.object %>
  
    <%= f.text_area :content, placeholder: "Compose new micropost..." %>
  
  <%= f.submit "Post", class: "btn btn-primary" %>
  
    <%= f.file_field :picture, accept: 'image/jpeg,image/gif,image/png' %>
  
<% end %>

大きすぎるファイルのアップロードは完全には防げないが、ここでは一旦良しとする

13.4.3 画像のリサイズ

画像の縦横の長さに対する制限はないので、画像を表示させる前にリサイズする
ImageMagick を入れる
- ImageMagick かぁ。。。これがデファクトなのかな？
画像をリサイズするために画像アップローダーを修正する

class PictureUploader < CarrierWave::Uploader::Base
  include CarrierWave::MiniMagick
  process resize_to_limit: [400, 400]

  storage :file

  # アップロードファイルの保存先ディレクトリは上書き可能
  # 下記はデフォルトの保存先
  def store_dir
    "uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
  end

  # アップロード可能な拡張子のリスト
  def extension_whitelist
    %w(jpg jpeg gif png)
  end
end

13.4.4 本番環境での画像アップロード

本番環境での画像アップロードを調整する

class PictureUploader < CarrierWave::Uploader::Base
  include CarrierWave::MiniMagick
  process resize_to_limit: [400, 400]

  if Rails.env.production?
    storage :fog
  else
    storage :file
  end

  # アップロードファイルの保存先ディレクトリは上書き可能
  # 下記はデフォルトの保存先
  def store_dir
    "uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
  end

  # アップロード可能な拡張子のリスト
  def extension_whitelist
    %w(jpg jpeg gif png)
  end
end

画像アップロード先として S3 のセットアップが必要なのでスキップ

13.5 最後に

いつもの通り master にマージして heroku にデプロイして終了

所感

いよいよ Rails チュートリアルも終盤であるが、ここまでくると Web アプリ開発として目新しいことはあまりなく、Rails の機能をただ扱うだけになってきたので正直なところモチベーションの維持が難しくなってきた。（まあ Rails のためのチュートリアルなので何も間違っていないのだが）次が最後の章なのでなんとか完走したい。。。

静的型付け言語原理主義者によるRailsチュートリアル（第12章）

Mon, 06 Apr 2020 21:12:46 +0900

第12章パスワードの再設定

パスワードの再設定はアカウント有効化の内容と似ている
パスワード再設定の想定手順
- ログインフォームに forgot password リンクを追加
  - リンクを踏むとフォームが表示され、そこにメールアドレスを入力してメールを送信すると、そのメールにパスワード再設定用のリンクが記載されている
パスワード再設定用のメイラーにリソースとデータモデルを追加し、パスワードの再設定を実現していく
PasswordResets リソースを作成し、再設定用のトークンとそれに対応するダイジェストを保存するのが今回の目的

12.1 PasswordResets リソース

まずは PasswordResets リソースのモデリングから
- 必要なデータを User モデルに追加していく
PasswordResets もリソースとして扱うので、標準的な RESTful URL を用意する
- パスワードを再設定するフォームが必要なので、ビューを描画するための new アクションと edit アクションが必要になる

12.1.1 PssswordResets コントローラ

まずはパスワード再設定用のコントローラを作成する
- new アクションと edit アクションも一緒に

rails generate controller PasswordResets new edit --no-test-framework

単体テストをする代わりに結合テストでカバーしていく
新しいパスワードを再設定するためのフォームと、Userモデル内のパスワードを変更するためのフォームが必要になるので、new create edit update のルーティングも用意する

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users
  resources :account_activations, only: [:edit]
  resources :password_resets,     only: [:new, :create, :edit, :update]
end

パスワード再設定画面へのリンクを追加する

<% provide(:title, "Log in") %>
Log in


  
    <%= form_for(:session, url: login_path) do |f| %>

      <%= f.label :email %>
      <%= f.email_field :email, class: 'form-control' %>

      <%= f.label :password %>
      <%= link_to "(forgot password)", new_password_reset_path %>
      <%= f.password_field :password, class: 'form-control' %>

      <%= f.label :remember_me, class: "checkbox inline" do %>
        <%= f.check_box :remember_me %>
        Remember me on this computer
      <% end %>

      <%= f.submit "Log in", class: "btn btn-primary" %>
    <% end %>

    New user? <%= link_to "Sign up now!", signup_path %>

12.1.2 新しいパスワードの設定

パスワードの再設定のデータモデルにおいても、トークン用の仮想的な属性とそれに対応するダイジェストを用意していく
パスワード再設定用のリンクはなるべく短時間で期限切れになるようにしなければならないため、再設定メールの送信時刻も記録する必要がある

$ rails generate migration add_reset_to_users reset_digest:string reset_sent_at:datetime

パスワード再設定フォームはログインフォームと似ているが、以下の違いがある
- form_for で扱うリソースがと URL が異なっている点
- パスワード属性が省略されている点

<% provide(:title, "Forgot password") %>
Forgot password


  
    <%= form_for(:password_reset, url: password_resets_path) do |f| %>
      <%= f.label :email %>
      <%= f.email_field :email, class: 'form-control' %>

      <%= f.submit "Submit", class: "btn btn-primary" %>
    <% end %>

12.1.3 create アクションでパスワード再設定

パスワード再設定フォームから送信を行った後、メールアドレスをキーとしてユーザーを DB から見つけ、パスワード再設定用トークンと送信時のタイムスタンプで DB の属性を更新する必要がある
続いてルート URL にリダイレクトし、フラッシュメッセージを表示
- 送信が無効の場合は new ページを出力

class PasswordResetsController < ApplicationController

  def new
  end

  def create
    @user = User.find_by(email: params[:password_reset][:email].downcase)
    if @user
      @user.create_reset_digest
      @user.send_password_reset_email
      flash[:info] = "Email sent with password reset instructions"
      redirect_to root_url
    else
      flash.now[:danger] = "Email address not found"
      render 'new'
    end
  end

  def edit
  end
end

User モデルにはパスワード再設定用のメソッドを追加する

class User < ApplicationRecord
  attr_accessor :remember_token, :activation_token, :reset_token
  before_save   :downcase_email
  before_create :create_activation_digest
  .
  .
  .
  # アカウントを有効にする
  def activate
    update_attribute(:activated,    true)
    update_attribute(:activated_at, Time.zone.now)
  end

  # 有効化用のメールを送信する
  def send_activation_email
    UserMailer.account_activation(self).deliver_now
  end

  # パスワード再設定の属性を設定する
  def create_reset_digest
    self.reset_token = User.new_token
    update_attribute(:reset_digest,  User.digest(reset_token))
    update_attribute(:reset_sent_at, Time.zone.now)
  end

  # パスワード再設定のメールを送信する
  def send_password_reset_email
    UserMailer.password_reset(self).deliver_now
  end

  private

    # メールアドレスをすべて小文字にする
    def downcase_email
      self.email = email.downcase
    end

    # 有効化トークンとダイジェストを作成および代入する
    def create_activation_digest
      self.activation_token  = User.new_token
      self.activation_digest = User.digest(activation_token)
    end
end

この時点では無効なメールアドレスを入力した場合に正常に動作する
- 正しいメールアドレスを送信した場合にも正常に動作するためには、パスワード再設定用のメイラーメソッドを定義する必要がある

12.2 パスワード再設定のメール送信

残りはパスワード再設定に関するメールを送信するところ

12.2.1 パスワード再設定のメールとテンプレート

User メイラーのときと同様のリファクタリングをパスワード再設定にも行っていく
まずは User メイラーに password_reset メソッドを追加してパスワード再設定のリンクをメール送信できるようにする

class UserMailer < ApplicationMailer

  def account_activation(user)
    @user = user
    mail to: user.email, subject: "Account activation"
  end

  def password_reset(user)
    @user = user
    mail to: user.email, subject: "Password reset"
  end
end

続いてパスワード再設定メールのテキストテンプレートを定義

To reset your password click the link below:

<%= edit_password_reset_url(@user.reset_token, email: @user.email) %>

This link will expire in two hours.

If you did not request your password to be reset, please ignore this email and
your password will stay as it is.

最後にパスワード再設定メールの HTML テンプレートを定義

Password reset

To reset your password click the link below:

<%= link_to "Reset password", edit_password_reset_url(@user.reset_token,
                                                      email: @user.email) %>

This link will expire in two hours.


If you did not request your password to be reset, please ignore this email and
your password will stay as it is.

アカウント有効化メールのときと同様に、Rails のメールプレビュー機能でパスワード再設定メールをプレビューできるようにする

# Preview all emails at http://localhost:3000/rails/mailers/user_mailer
class UserMailerPreview < ActionMailer::Preview

  # Preview this email at
  # http://localhost:3000/rails/mailers/user_mailer/account_activation
  def account_activation
    user = User.first
    user.activation_token = User.new_token
    UserMailer.account_activation(user)
  end

  # Preview this email at
  # http://localhost:3000/rails/mailers/user_mailer/password_reset
  def password_reset
    user = User.first
    user.reset_token = User.new_token
    UserMailer.password_reset(user)
  end
end

12.2.2 送信メールのテスト

アカウント有効化のテストと同様に、メイラーメソッドのテストを書く

require 'test_helper'

class UserMailerTest < ActionMailer::TestCase

  test "account_activation" do
    user = users(:michael)
    user.activation_token = User.new_token
    mail = UserMailer.account_activation(user)
    assert_equal "Account activation", mail.subject
    assert_equal [user.email], mail.to
    assert_equal ["noreply@example.com"], mail.from
    assert_match user.name,               mail.body.encoded
    assert_match user.activation_token,   mail.body.encoded
    assert_match CGI.escape(user.email),  mail.body.encoded
  end

  test "password_reset" do
    user = users(:michael)
    user.reset_token = User.new_token
    mail = UserMailer.password_reset(user)
    assert_equal "Password reset", mail.subject
    assert_equal [user.email], mail.to
    assert_equal ["noreply@example.com"], mail.from
    assert_match user.reset_token,        mail.body.encoded
    assert_match CGI.escape(user.email),  mail.body.encoded
  end
end

12.3 パスワードを再設定する

送信メールを生成できたので、PasswordResets コントローラの edit アクションを実装する

12.3.1 edit アクションで再設定

パスワード再設定送信メール記載のリンクを機能させるには、パスワード再設定フォームを表示するビューが必要
- パスワード入力フィールドと確認用フィールドだけでよい
メールアドレスをキーとしてユーザーを検索するためには、edit アクションと update アクションの両方でメールアドレスが必要なため、作業が少し面倒
edit アクションでメールアドレスを取り出すことに問題はないが、フォームを一度送信してしまうとこの情報は消えてしまう
- メールアドレスを保持するため、隠しフィールドとしてページ内に保存する
- フォームから送信したときに他の情報と一緒にメールアドレスが送信されるようになる

<% provide(:title, 'Reset password') %>
Reset password


  
    <%= form_for(@user, url: password_reset_path(params[:id])) do |f| %>
      <%= render 'shared/error_messages' %>

      <%= hidden_field_tag :email, @user.email %>

      <%= f.label :password %>
      <%= f.password_field :password, class: 'form-control' %>

      <%= f.label :password_confirmation, "Confirmation" %>
      <%= f.password_field :password_confirmation, class: 'form-control' %>

      <%= f.submit "Update password", class: "btn btn-primary" %>
    <% end %>

このフォームを描画するために PasswordResets コントローラの edit アクションを更新する

class PasswordResetsController < ApplicationController
  before_action :get_user,   only: [:edit, :update]
  before_action :valid_user, only: [:edit, :update]
  .
  .
  .
  def edit
  end

  private

    def get_user
      @user = User.find_by(email: params[:email])
    end

    # 正しいユーザーかどうか確認する
    def valid_user
      unless (@user && @user.activated? &&
              @user.authenticated?(:reset, params[:id]))
        redirect_to root_url
      end
    end
end

12.3.2 パスワードを更新する

フォームから新しいパスワードが送信されるので、それに対応する update アクションが必要
- 以下のケースを考慮する
  - パスワード再設定の有効期限が切れていないか
  - 無効なパスワードであれば失敗させる
  - 新しいパスワードが空文字になっていないか
  - 新しいパスワードが正しければ更新する
パスワード再設定の有効期限切れチェックを除くと以下のようになる

class PasswordResetsController < ApplicationController
  before_action :get_user,         only: [:edit, :update]
  before_action :valid_user,       only: [:edit, :update]
  before_action :check_expiration, only: [:edit, :update]    # (1) への対応

  def new
  end

  def create
    @user = User.find_by(email: params[:password_reset][:email].downcase)
    if @user
      @user.create_reset_digest
      @user.send_password_reset_email
      flash[:info] = "Email sent with password reset instructions"
      redirect_to root_url
    else
      flash.now[:danger] = "Email address not found"
      render 'new'
    end
  end

  def edit
  end

  def update
    if params[:user][:password].empty?                  # (3) への対応
      @user.errors.add(:password, :blank)
      render 'edit'
    elsif @user.update_attributes(user_params)          # (4) への対応
      log_in @user
      flash[:success] = "Password has been reset."
      redirect_to @user
    else
      render 'edit'                                     # (2) への対応
    end
  end

  private

    def user_params
      params.require(:user).permit(:password, :password_confirmation)
    end

    # beforeフィルタ

    def get_user
      @user = User.find_by(email: params[:email])
    end

    # 有効なユーザーかどうか確認する
    def valid_user
      unless (@user && @user.activated? &&
              @user.authenticated?(:reset, params[:id]))
        redirect_to root_url
      end
    end
  
    # トークンが期限切れかどうか確認する
    def check_expiration
      if @user.password_reset_expired?
        flash[:danger] = "Password reset has expired."
        redirect_to new_password_reset_url
      end
    end
end

User モデルにパスワード再設定用メソッドを追加する

class User < ApplicationRecord
  .
  .
  .
  # パスワード再設定の期限が切れている場合はtrueを返す
  def password_reset_expired?
    reset_sent_at < 2.hours.ago
  end

  private
    .
    .
    .
end

12.3.3 パスワードの再設定をテストする

パスワード再設定に成功した場合と失敗した場合の統合テストを作成する
最初は forgot password フォームを表示して無効なメールアドレスを送信し、次はそのフォームで有効なメールアドレスを送信する
- 後者ではパスワード再設定用トークンが作成され、再設定用メールが送信される
メールのリンクを開いて無効な情報を送信し、そのリンクから有効な情報を送信する

require 'test_helper'

class PasswordResetsTest < ActionDispatch::IntegrationTest

  def setup
    ActionMailer::Base.deliveries.clear
    @user = users(:michael)
  end

  test "password resets" do
    get new_password_reset_path
    assert_template 'password_resets/new'
    # メールアドレスが無効
    post password_resets_path, params: { password_reset: { email: "" } }
    assert_not flash.empty?
    assert_template 'password_resets/new'
    # メールアドレスが有効
    post password_resets_path,
         params: { password_reset: { email: @user.email } }
    assert_not_equal @user.reset_digest, @user.reload.reset_digest
    assert_equal 1, ActionMailer::Base.deliveries.size
    assert_not flash.empty?
    assert_redirected_to root_url
    # パスワード再設定フォームのテスト
    user = assigns(:user)
    # メールアドレスが無効
    get edit_password_reset_path(user.reset_token, email: "")
    assert_redirected_to root_url
    # 無効なユーザー
    user.toggle!(:activated)
    get edit_password_reset_path(user.reset_token, email: user.email)
    assert_redirected_to root_url
    user.toggle!(:activated)
    # メールアドレスが有効で、トークンが無効
    get edit_password_reset_path('wrong token', email: user.email)
    assert_redirected_to root_url
    # メールアドレスもトークンも有効
    get edit_password_reset_path(user.reset_token, email: user.email)
    assert_template 'password_resets/edit'
    assert_select "input[name=email][type=hidden][value=?]", user.email
    # 無効なパスワードとパスワード確認
    patch password_reset_path(user.reset_token),
          params: { email: user.email,
                    user: { password:              "foobaz",
                            password_confirmation: "barquux" } }
    assert_select 'div#error_explanation'
    # パスワードが空
    patch password_reset_path(user.reset_token),
          params: { email: user.email,
                    user: { password:              "",
                            password_confirmation: "" } }
    assert_select 'div#error_explanation'
    # 有効なパスワードとパスワード確認
    patch password_reset_path(user.reset_token),
          params: { email: user.email,
                    user: { password:              "foobaz",
                            password_confirmation: "foobaz" } }
    assert is_logged_in?
    assert_not flash.empty?
    assert_redirected_to user
  end
end

12.4 本番環境でのメール送信（再掲）

SendGrid でのメール送信
- クレジットカード登録が必要なので再度スキップ

12.5 最後に

パスワード再設定の実装により、サンプルアプリケーションのユーザー登録・ログイン・ログアウトの仕組みは本物に近いレベルとなった

所感

Webサービスにパスワードリセットの機能はつきものだが、Rails での実装の一例を知ることができた。Rails に従うのが一番と考えると、一例でなくこれが全てなのかもしれない。ダイジェストやトークンを使用しての認証は当たり前のように思えるが、意外と世のサービスがこのように実装されているかどうかは疑わしいのではという気もしてきている。（前職での開発に思いを馳せながら）

静的型付け言語原理主義者によるRailsチュートリアル（第11章）

Tue, 24 Mar 2020 22:39:23 +0900

第11章アカウントの有効化

現時点で新規登録ユーザーは最初からすべての機能にアクセスできるようになっている
- アカウントを有効化するステップを新規登録の途中に差し込むことで、メールアドレスの有効性を確認できるようにする
  - 有効化トークンやダイジェストを関連付けておいた状態で
  - 有効化トークンを含めたリンクをユーザーにメールで送信し
  - ユーザーがそのリンクをクリックすると有効化できるようにする
アカウントを有効化する段取り
- ユーザーの初期状態は unactivated にしておく
- ユーザー登録されたときに有効化トークンとそれに対応する有効化ダイジェストを生成する
- 有効化ダイジェストは DB に保存しておき、有効化トークンはメールアドレスと一緒にユーザーに送信する有効化用メールのリンクに仕込んでおく
- ユーザーがメールのリンクをクリックしたら、アプリケーションはメールアドレスをキーにしてユーザーを探し、DB 内に保存しておいた有効化ダイジェストと比較することでトークンを認証する
- ユーザーを認証できたら、ユーザーのステータスを activated に変更する

11.1 AccountActivationsリソース

セッション機能を使って、アカウントの有効化という作業をリソースとしてモデル化する
- 有効化トークンや有効化ステータスなどを User モデルに追加する

11.1.1 AccountActivations コントローラ

AccountActivations リソースを作るためにに、まずは AccountActivations コントローラを生成する
- 有効化のメールには次の URL を含めることになる

edit_account_activation_url(activation_token, ...)

上記は edit アクションへの名前付きルートが必要になるということ
- 名前付きルートを扱えるようにするために、ルーティングにアカウント有効化用の resources 行を追加する

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users
  resources :account_activations, only: [:edit]
end

11.1.2 AccountActivation のデータモデル

有効化のメールには一意の有効化トークンが必要
- 仮想的属性を使ってハッシュ化した文字列を DB に保存する
続いて activated 属性を追加して論理値を取るようにする
- ユーザーが有効であるかどうかをテストできるようになる
マイグレーションを実行してデータモデルを更新する

 rails generate migration add_activation_to_users   activation_digest:string activated:boolean activated_at:datetime

activated 属性のデフォルト論理値を false にしておいてマイグレーションを実行

Activation トークンのコールバック

ユーザーの新規登録時には必ずアカウントの有効化が必要になるので、有効化トークンや有効化ダイジェストはユーザーオブジェクトが作成される前に作成しておく必要がある
- オブジェクトが作成されたときだけコールバックを呼びたいので before_create を定義する
- コールバック内で create_activation_digest というメソッド参照を定義
- Rails は create_activation_digest メソッドを探し、ユーザーを作成する前に実行する
- User モデル内でしか使用しないので private にする
- コールバックでトークンとそれに対応するダイジェストを割り当てるため、記憶トークンや記憶ダイジェストのために作ったメソッドを使い回す
  - User.new で新しいユーザーが定義されると、activation_token 属性や activation_digest 属性が得られるようになる

class User < ApplicationRecord
  attr_accessor :remember_token, :activation_token
  before_save   :downcase_email
  before_create :create_activation_digest
  validates :name,  presence: true, length: { maximum: 50 }
  .
  .
  .
  private

    # メールアドレスをすべて小文字にする
    def downcase_email
      self.email = email.downcase
    end

    # 有効化トークンとダイジェストを作成および代入する
    def create_activation_digest
      self.activation_token  = User.new_token
      self.activation_digest = User.digest(activation_token)
    end
end

サンプルユーザーの生成とテスト

サンプルデータと fixture も更新し、テスト前のサンプルとユーザーを事前に有効化しておく
DB を初期化し、サンプルデータを生成し直して変更を反映させる

11.2 アカウント有効化のメール送信

アカウント有効化メールの送信に必要なコードを追加する
- Action Mailer ライブラリを使って User のメイラーを追加する
- Users コントローラの create アクションで有効化リンクをメール送信するために使用する
  - よくあるやつ
- メールのテンプレートはビューと同じ要領で定義できる
  - テンプレート内に有効化トークンとメールアドレスのリンクを含め使う

11.2.1 送信メールのテンプレート

メイラーはモデルやコントローラと同様に rails generate で生成可能

$ rails generate mailer UserMailer account_activation password_reset

account_activation メソッドと、password_reset メソッドが生成される
- 便利だなあ。。。相変わらず裏で何やっているか不明だけど
- 生成したメイラーごとにビューのテンプレートが2つずつ生成される
  - ひとつはテキストメール用のテンプレート
  - ひとつは HTML メール用のテンプレート
最初に生成されたテンプレートをカスタマイズして、実際に有効化メールで使えるようにする

class ApplicationMailer < ActionMailer::Base
  default from: "noreply@example.com"
  layout 'mailer'
end

次に、ユーザーを含むインスタンス変数を作成してビューで使えるようにし、user.email にメール送信する
- mail に subject として渡している引数はメールの件名

class UserMailer < ApplicationMailer

  def account_activation(user)
    @user = user
    mail to: user.email, subject: "Account activation"
  end

  def password_reset
    @greeting = "Hi"

    mail to: "to@example.org"
  end
end

テンプレートビューは通常のビューと同様に ERB で自由にカスタマイズ可能
- 挨拶文にユーザー名を含め、カスタムの有効化リンクを追加する
- リンクにはメールアドレスとトークンの両方を含める必要がある
  - Rails サーバーでユーザーをメールアドレスで検索して有効化トークンを認証できるようにするため
- AccountActivations リソースで有効化をモデル化したので、トークン自体は名前付きルートの引数で使われる

edit_account_activation_url(@user.activation_token, ...)

edit_user_url(user)

上記メソッドは次の形式の URL を生成する

http://www.example.com/users/1/edit

これに対応するアカウント有効化リンクのベース URL は次のようになる

http://www.example.com/account_activations/q5lt38hQDc_959PVoo6b7A/edit

上記 URL の q5lt38hQDc_959PVoo6b7A は new_token メソッドで生成されたもので、URLで使えるように Base64 でエンコードされている
- /user/1/edit の 1 のようなユーザー ID と同じ役割を果たす
- 特に AccountActivations コントローラの edit アクションでは params ハッシュで params[:id] として参照可能
クエリパラメータを使ってこの URL にメールアドレスも組み込んでみる

account_activations/q5lt38hQDc_959PVoo6b7A/edit?email=foo%40example.com

メールアドレスの@記号は URL では使用できない文字のためエスケープされている
Rails でクエリパラメータを設定するには、名前付きルートに対して次のようなハッシュを追加する

edit_account_activation_url(@user.activation_token, email: @user.email)

名前付きルートでクエリパラメータを定義すると、Rails が特殊な文字を自動的にエスケープしてくれる
- コントローラで params[:email] からメールアドレスを取り出すときは、自動的にエスケープを解除してくれる
  - いたれりつくせり
以上を組み合わせてアカウント有効化のテキストビューを作成する

Hi <%= @user.name %>,

Welcome to the Sample App! Click on the link below to activate your account:

<%= edit_account_activation_url(@user.activation_token, email: @user.email) %>

同様にアカウント有効化の HTML ビューも作成する

Sample App

Hi <%= @user.name %>,


Welcome to the Sample App! Click on the link below to activate your account:


<%= link_to "Activate", edit_account_activation_url(@user.activation_token,
                                                    email: @user.email) %>

11.2.2 送信メールのプレビュー

Rails では特殊な URL にアクセスするとメールのメッセージをプレビューすることができる
- な、なんだってー
- アプリケーションの development 環境の設定を変更する必要がある

Rails.application.configure do
  .
  .
  .
  config.action_mailer.raise_delivery_errors = true
  config.action_mailer.delivery_method = :test
  host = 'example.com' # ここをコピペすると失敗します。自分の環境に合わせてください。
  config.action_mailer.default_url_options = { host: host, protocol: 'https' }
  .
  .
  .
end

自動生成した User メイラーのプレビューファイルの更新も必要
自動生成コードのままでは動作しないので、user 変数が開発用データベースの最初のユーザーになるように定義し、それを UserMailer.account_activation の引数として渡す

# Preview all emails at http://localhost:3000/rails/mailers/user_mailer
class UserMailerPreview < ActionMailer::Preview

  # Preview this email at
  # http://localhost:3000/rails/mailers/user_mailer/account_activation
  def account_activation
    user = User.first
    user.activation_token = User.new_token
    UserMailer.account_activation(user)
  end

  # Preview this email at
  # http://localhost:3000/rails/mailers/user_mailer/password_reset
  def password_reset
    UserMailer.password_reset
  end
end

以上でプレビュー可能になる
- 摩訶不思議

11.2.3 送信メールのテスト

メールプレビューのテストを追加する
- プレビューのテストに違和感
- Rails によってテストは自動生成されている
  - おいおいおい

require 'test_helper'

class UserMailerTest < ActionMailer::TestCase

  test "account_activation" do
    mail = UserMailer.account_activation
    assert_equal "Account activation", mail.subject
    assert_equal ["to@example.org"], mail.to
    assert_equal ["from@example.com"], mail.from
    assert_match "Hi", mail.body.encoded
  end

  test "password_reset" do
    mail = UserMailer.password_reset
    assert_equal "Password reset", mail.subject
    assert_equal ["to@example.org"], mail.to
    assert_equal ["from@example.com"], mail.from
    assert_match "Hi", mail.body.encoded
  end
end

assert_match という非常に強力なメソッド
- 正規表現で文字列をテストできる
  - つよい
- テスト用ユーザーのメールアドレスをエスケープすることも可能
現在のメールの実装をテストする

require 'test_helper'

class UserMailerTest < ActionMailer::TestCase

  test "account_activation" do
    user = users(:michael)
    user.activation_token = User.new_token
    mail = UserMailer.account_activation(user)
    assert_equal "Account activation", mail.subject
    assert_equal [user.email], mail.to
    assert_equal ["noreply@example.com"], mail.from
    assert_match user.name,               mail.body.encoded
    assert_match user.activation_token,   mail.body.encoded
    assert_match CGI.escape(user.email),  mail.body.encoded
  end
end

このテストをパスするためには、テストファイル内のドメイン名を正しく設定する必要がある

Rails.application.configure do
  .
  .
  .
  config.action_mailer.delivery_method = :test
  config.action_mailer.default_url_options = { host: 'example.com' }
  .
  .
  .
end

11.2.4 ユーザーの create アクションを更新

ユーザー登録の create アクションに数行追加するだけで、メイラーをアプリケーションで実際に使うことが可能

class UsersController < ApplicationController
  .
  .
  .
  def create
    @user = User.new(user_params)
    if @user.save
      UserMailer.account_activation(@user).deliver_now
      flash[:info] = "Please check your email to activate your account."
      redirect_to root_url
    else
      render 'new'
    end
  end
  .
  .
  .
end

リダイレクト先をプロフィールページからルート URL に変更し、かつユーザーは以前のようにログインしないようになっている
- テストが失敗するので該当箇所をひとまずコメントアウト（あとで直す）
ユーザーを実際に登録してみると、メールが生成される（送信はされない）

11.3 アカウントを有効化する

メールが生成できたので、次は AccountActivations コントローラの edit アクションを書いていく

11.3.1 authenticated? メソッドの抽象化

有効化トークンとメールはそれぞれ params[:id] と params[:email] で参照できるので、次のようなコードでユーザーを検索して認証する

user = User.find_by(email: params[:email])
if user && user.authenticated?(:activation, params[:id])

authenticated? メソッドは、アカウント有効化のダイジェストと渡されたトークンが一致するかどうかをチェックする
- 以下のメソッドは記憶トークン用なのでまだ正常に動作はしない

# トークンがダイジェストと一致したらtrueを返す
def authenticated?(remember_token)
  return false if remember_digest.nil?
  BCrypt::Password.new(remember_digest).is_password?(remember_token)
end

remember_digest は User モデルの属性なので、モデル内では次のように置き換えることができる

self.remember_digest

今回は、上記コードの remember 部分を変数として扱いたい
- すなわち状況に応じて呼ぶメソッドを切り替えたい
authenticated? メソッドでは、受け取ったパラメータに応じて呼び出すメソッドを切り替える
- メタプログラミング
  - 「Rails の一見魔法のような機能（黒魔術とも呼ばれます）の多くは、Ruby のメタプログラミングによって実現されています。」
    - 黒魔術（公式）
  - 渡されたオブジェクトに「メッセージを送る」ことによって呼び出すメソッドを動的に決めることができる send メソッドを使う
    - やりすぎでは
send メソッドの仕組みを利用して、authenticated? メソッドを書き換える

def authenticated?(remember_token)
  digest = self.send("remember_digest")
  return false if digest.nil?
  BCrypt::Password.new(digest).is_password?(remember_token)
end

各引数を一般化し、文字列の式展開も利用する

def authenticated?(attribute, token)
  digest = self.send("#{attribute}_digest")
  return false if digest.nil?
  BCrypt::Password.new(digest).is_password?(token)
end

モデル内にあるコードなので selef は省略可能

def authenticated?(attribute, token)
  digest = send("#{attribute}_digest")
  return false if digest.nil?
  BCrypt::Password.new(digest).is_password?(token)
end

次のようにして authenticated? の従来の振る舞いを再現できる

user.authenticated?(:remember, remember_token)

以上を実際の User モデルに適用する

class User < ApplicationRecord
  .
  .
  .
  # トークンがダイジェストと一致したらtrueを返す
  def authenticated?(attribute, token)
    digest = send("#{attribute}_digest")
    return false if digest.nil?
    BCrypt::Password.new(digest).is_password?(token)
  end
  .
  .
  .
end

従来のテストが失敗するので、新しい authenticated? メソッドを使用するように修正する
current_user 内の抽象化した authenticated? メソッドを修正

module SessionsHelper
  .
  .
  .
  # 現在ログイン中のユーザーを返す (いる場合)
  def current_user
    if (user_id = session[:user_id])
      @current_user ||= User.find_by(id: user_id)
    elsif (user_id = cookies.signed[:user_id])
      user = User.find_by(id: user_id)
      if user && user.authenticated?(:remember, cookies[:remember_token])
        log_in user
        @current_user = user
      end
    end
  end
  .
  .
  .
end

User テスト内の抽象化した authenticated? メソッドを修正

require 'test_helper'

class UserTest < ActiveSupport::TestCase

  def setup
    @user = User.new(name: "Example User", email: "user@example.com",
                     password: "foobar", password_confirmation: "foobar")
  end
  .
  .
  .
  test "authenticated? should return false for a user with nil digest" do
    assert_not @user.authenticated?(:remember, '')
  end
end

11.3.2 edit アクションで有効化

edit アクションでは params ハッシュで渡されたメールアドレスに対応するユーザーを認証する

class AccountActivationsController < ApplicationController

  def edit
    user = User.find_by(email: params[:email])
    if user && !user.activated? && user.authenticated?(:activation, params[:id])
      user.update_attribute(:activated,    true)
      user.update_attribute(:activated_at, Time.zone.now)
      log_in user
      flash[:success] = "Account activated!"
      redirect_to user
    else
      flash[:danger] = "Invalid activation link"
      redirect_to root_url
    end
  end
end

!user.activated? は既に有効になっているユーザーを誤って再度有効化しないために必要
- 正当であろうとなかろうと、有効化が行われるユーザーはログイン状態になる
この時点ではユーザーのログイン方法を変更していないため、ユーザーの有効化にはまだなんの意味もない
- ユーザーが有効である場合にのみログインできるように修正する必要がある

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      if user.activated?
        log_in user
        params[:session][:remember_me] == '1' ? remember(user) : forget(user)
        redirect_back_or user
      else
        message  = "Account not activated. "
        message += "Check your email for the activation link."
        flash[:warning] = message
        redirect_to root_url
      end
    else
      flash.now[:danger] = 'Invalid email/password combination'
      render 'new'
    end
  end

  def destroy
    log_out if logged_in?
    redirect_to root_url
  end
end

11.3.3 有効化のテストとリファクタリング

ユーザー登録のテストにアカウント有効化のテストを追加する

require 'test_helper'

class UsersSignupTest < ActionDispatch::IntegrationTest

  def setup
    ActionMailer::Base.deliveries.clear
  end

  test "invalid signup information" do
    get signup_path
    assert_no_difference 'User.count' do
      post users_path, params: { user: { name:  "",
                                         email: "user@invalid",
                                         password:              "foo",
                                         password_confirmation: "bar" } }
    end
    assert_template 'users/new'
    assert_select 'div#error_explanation'
    assert_select 'div.field_with_errors'
  end

  test "valid signup information with account activation" do
    get signup_path
    assert_difference 'User.count', 1 do
      post users_path, params: { user: { name:  "Example User",
                                         email: "user@example.com",
                                         password:              "password",
                                         password_confirmation: "password" } }
    end
    assert_equal 1, ActionMailer::Base.deliveries.size
    user = assigns(:user)
    assert_not user.activated?
    # 有効化していない状態でログインしてみる
    log_in_as(user)
    assert_not is_logged_in?
    # 有効化トークンが不正な場合
    get edit_account_activation_path("invalid token", email: user.email)
    assert_not is_logged_in?
    # トークンは正しいがメールアドレスが無効な場合
    get edit_account_activation_path(user.activation_token, email: 'wrong')
    assert_not is_logged_in?
    # 有効化トークンが正しい場合
    get edit_account_activation_path(user.activation_token, email: user.email)
    assert user.reload.activated?
    follow_redirect!
    assert_template 'users/show'
    assert is_logged_in?
  end
end

ユーザー操作の一部をコントローラからモデルに移動するリファクタリングを行う
- activate メソッドを作成してユーザーの有効化属性を更新し、send_activation_email メソッドを作成して有効化メールを送信する
User モデルにユーザー有効化メソッドを追加

class User < ApplicationRecord
  .
  .
  .
  # アカウントを有効にする
  def activate
    update_attribute(:activated,    true)
    update_attribute(:activated_at, Time.zone.now)
  end

  # 有効化用のメールを送信する
  def send_activation_email
    UserMailer.account_activation(self).deliver_now
  end

  private
    .
    .
    .
end

ユーザーモデルオブジェクトからメールを送信する

class UsersController < ApplicationController
  .
  .
  .
  def create
    @user = User.new(user_params)
    if @user.save
      @user.send_activation_email
      flash[:info] = "Please check your email to activate your account."
      redirect_to root_url
    else
      render 'new'
    end
  end
  .
  .
  .
end

ユーザーモデルオブジェクト経由でアカウントを有効化する

class AccountActivationsController < ApplicationController

  def edit
    user = User.find_by(email: params[:email])
    if user && !user.activated? && user.authenticated?(:activation, params[:id])
      user.activate
      log_in user
      flash[:success] = "Account activated!"
      redirect_to user
    else
      flash[:danger] = "Invalid activation link"
      redirect_to root_url
    end
  end
end

11.4 本番環境でのメール送信

production 環境で実際にメールを送信できるようにしてみる
SendGrid という Heroku アドオンを利用してアカウントを検証
- Heroku アカウントにクレジットカードを設定する必要があるので割愛
starter tier というサービスを利用
- production 環境の SMTP に情報を記入する必要がある
Heroku にデプロイして完了（の体）

11.5 最後に

アカウント有効化を実装しったので、サンプルアプリケーションのユーザー登録、ログイン、ログアウトの仕組みがほぼ完成した
最後はパスワード再設定機能
- アカウント有効かと仕組みは似ている

所感

メールを用いたアカウントの有効化という、Webサービスでよくある実装を行った。複雑な実装をしなければいけないかと思いきや、ここでも Rails に乗っかるだけで簡単に実装できてしまった。裏側はどうなっているのか。。。

この章での醍醐味はやはりメタプログラミングだろう。Ruby のメタプログラミングに初めて触れたのだが、静的型付け言語原理主義者としては、動的にメソッドを切り替えるという言語仕様はなかなか受け入れられるものではない。しかしこの言語仕様が自由度の高いプログラミングを可能にしているのも事実で、Rails の黒魔術を支えているのだと実感できた。コードが壊れやすくなるとは思うが、この自由な世界からプログラミングを始めた人にとっては、静的型付け言語は自由度が低く、毎度ビルドしないといけない非常に扱いづらい言語になるのだろうなあと思えた。

静的型付け言語原理主義者によるRailsチュートリアル（第10章）

Thu, 12 Mar 2020 11:03:39 +0900

第10章ユーザーの更新・表示・削除

User リソース用の REST アクションのうち、未実装だった edit update index destroy アクションを加え、REST を完成させる

10.1 ユーザーを更新する

ユーザー情報を編集するには、新規ユーザー用のビューを出力する new アクションと同様に、ユーザーを編集するためのアクションを作成する
同様に、POST リクエストに応答する create の代わりに、PATCH リクエストに応答する update アクションを作成する

10.1.1 編集フォーム

Users コントローラに edit アクションを追加し、それに対応する edit ビューを実装する
ユーザーの id は params[:id] 変数で取り出すことが可能

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end

  def create
    @user = User.new(user_params)
    if @user.save
      log_in @user
      flash[:success] = "Welcome to the Sample App!"
      redirect_to @user
    else
      render 'new'
    end
  end

  def edit
    @user = User.find(params[:id])
  end

  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end
end

ユーザーの edit ビューを作成

<% provide(:title, "Edit user") %>
Update your profile


  
    <%= form_for(@user) do |f| %>
      <%= render 'shared/error_messages' %>

      <%= f.label :name %>
      <%= f.text_field :name, class: 'form-control' %>

      <%= f.label :email %>
      <%= f.email_field :email, class: 'form-control' %>

      <%= f.label :password %>
      <%= f.password_field :password, class: 'form-control' %>

      <%= f.label :password_confirmation, "Confirmation" %>
      <%= f.password_field :password_confirmation, class: 'form-control' %>

      <%= f.submit "Save changes", class: "btn btn-primary" %>
    <% end %>

    
      <%= gravatar_for @user %>
      change

Rails によって @user 変数の属性情報が引き出され、名前やメールアドレスのフィールドに値が自動入力される
Web ブラウザではネイティブで PATCH リクエストを送信できないので、Rails では POST リクエストと隠し input フィールドを利用して PATCH リクエストを偽造している
- めちゃ微妙。。。
Rails は form_for(@user) を使用してフォームを構成すると、@user.new_record? が true のときには POST を、false のときには PATCH を使う
- これまた微妙。。。

10.1.2 編集の失敗

ユーザー情報の編集に失敗した場合
ユーザーの update アクションの初期実装

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end

  def create
    @user = User.new(user_params)
    if @user.save
      log_in @user
      flash[:success] = "Welcome to the Sample App!"
      redirect_to @user
    else
      render 'new'
    end
  end

  def edit
    @user = User.find(params[:id])
  end

  def update
    @user = User.find(params[:id])
    if @user.update_attributes(user_params)
      # 更新に成功した場合を扱う。
    else
      render 'edit'
    end
  end

  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end
end

update_attributes への呼び出しで user_params を使っている
- Strong Parameters を使ってマスアサインメントの脆弱性を防止している

10.1.3 編集失敗時のテスト

いつものように統合テストを書いていく
- まず編集ページにアクセスし、edit ビューが描画されるかをチェック
- その後無効な情報を送信し、edit ビューが再描画されるかをチェック

require 'test_helper'

class UsersEditTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end

  test "unsuccessful edit" do
    get edit_user_path(@user)
    assert_template 'users/edit'
    patch user_path(@user), params: { user: { name:  "",
                                              email: "foo@invalid",
                                              password:              "foo",
                                              password_confirmation: "bar" } }

    assert_template 'users/edit'
  end
end

10.1.4 TDD で編集を成功させる

編集フォームが動作するようにするために統合テストも TDD で実装していく
ユーザー情報を更新する正しい振る舞い
- flash メッセージが空でないか
- プロフィールページにリダイレクトされるか
- DB 内のユーザー情報が正しく変更されたか

require 'test_helper'

class UsersEditTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end
  .
  .
  .
  test "successful edit" do
    get edit_user_path(@user)
    assert_template 'users/edit'
    name  = "Foo Bar"
    email = "foo@bar.com"
    patch user_path(@user), params: { user: { name:  name,
                                              email: email,
                                              password:              "",
                                              password_confirmation: "" } }
    assert_not flash.empty?
    assert_redirected_to @user
    @user.reload
    assert_equal name,  @user.name
    assert_equal email, @user.email
  end
end

上記テストをパスするためにユーザーの update アクションを追加する

class UsersController < ApplicationController
  .
  .
  .
  def update
    @user = User.find(params[:id])
    if @user.update_attributes(user_params)
      flash[:success] = "Profile updated"
      redirect_to @user
    else
      render 'edit'
    end
  end
  .
  .
  .
end

この段階ではまだテストは通らない
- パスワードのバリデーションに対して、空だった場合の例外処理を加える必要がある

class User < ApplicationRecord
  attr_accessor :remember_token
  before_save { self.email = email.downcase }
  validates :name, presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
  has_secure_password
  validates :password, presence: true, length: { minimum: 6 }, allow_nil: true
  .
  .
  .
end

上記修正により新規ユーザー登録時にからのパスワードが有効になってしまうのではという危惧
- has_secure_password でオブジェクト生成時に存在性を検証するようになっているため、空のパスワードが新規ユーザー登録時に有効になることはない

10.2 認可

認証（authentication）
- サイトのユーザーを識別すること
認可（ahtuorization）
- そのユーザーが実行可能な操作を管理すること
本章の edit アクションと update アクションにおけるセキュリティホール
- どのユーザーでもあらゆるアクションにアクセスできるため、ログインしていないユーザーでもユーザー情報を編集できてしまう
  - ユーザーにログインを要求し、かつ自分以外のユーザー情報を変更できないように制御する
ログインしていないユーザーが保護されたページにアクセスしようとしたとき
- ログインページに転送する
  - よくあるやつ

10.2.1 ユーザーにログインを要求する

Users コントローラの中で before フィルターを使用する
- before_action メソッドで何らかの処理が実行される直前に特定のメソッドを実行する
- before フィルターに logged_in_user を追加する

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:edit, :update]
  .
  .
  .
  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end

    # beforeアクション

    # ログイン済みユーザーかどうか確認
    def logged_in_user
      unless logged_in?
        flash[:danger] = "Please log in."
        redirect_to login_url
      end
    end
end

edit アクションや update アクションでログインを要求するようになっため、テストが失敗する
- 上記アクションをテストする前にログインしておく必要がある

require 'test_helper'

class UsersEditTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end

  test "unsuccessful edit" do
    log_in_as(@user)
    get edit_user_path(@user)
    .
    .
    .
  end

  test "successful edit" do
    log_in_as(@user)
    get edit_user_path(@user)
    .
    .
    .
  end
end

テストは通るようになったが、セキュリティモデルに関する実装を覗いてもテストが通ってしまう
- before フィルターをコメントアウトしてセキュリティホールが作られたときにはテストで検出できるようになっているべき
before フィルターは基本的にアクションごとに適用していくので、Users コントローラのテストもアクションごとに書いていく

require 'test_helper'

class UsersControllerTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end
  .
  .
  .
  test "should redirect edit when not logged in" do
    get edit_user_path(@user)
    assert_not flash.empty?
    assert_redirected_to login_url
  end

  test "should redirect update when not logged in" do
    patch user_path(@user), params: { user: { name: @user.name,
                                              email: @user.email } }
    assert_not flash.empty?
    assert_redirected_to login_url
  end
end

10.2.2 正しいユーザーを要求する

ログインを要求するだけでは不十分で、ユーザーが自分の情報だけを編集できるようにする必要がある
- 例によって TDD で
まずはユーザーの情報が互いに編集できないことを確認するために、サンプルユーザーをもう一人追加する
次に log_in_as メソッドを使って、edit アクションと update アクションをテストする

require 'test_helper'

class UsersControllerTest < ActionDispatch::IntegrationTest

  def setup
    @user       = users(:michael)
    @other_user = users(:archer)
  end
  .
  .
  .
  test "should redirect edit when logged in as wrong user" do
    log_in_as(@other_user)
    get edit_user_path(@user)
    assert flash.empty?
    assert_redirected_to root_url
  end

  test "should redirect update when logged in as wrong user" do
    log_in_as(@other_user)
    patch user_path(@user), params: { user: { name: @user.name,
                                              email: @user.email } }
    assert flash.empty?
    assert_redirected_to root_url
  end
end

別のユーザーのプロフィールを編集しようとした場合はリダイレクトさせたいので、current_user というメソッドを作成し、 before フィルターからこのメソッドを呼び出せるようにする

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:edit, :update]
  before_action :correct_user,   only: [:edit, :update]
  .
  .
  .
  def edit
  end

  def update
    if @user.update_attributes(user_params)
      flash[:success] = "Profile updated"
      redirect_to @user
    else
      render 'edit'
    end
  end
  .
  .
  .
  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end

    # beforeアクション

    # ログイン済みユーザーかどうか確認
    def logged_in_user
      unless logged_in?
        flash[:danger] = "Please log in."
        redirect_to login_url
      end
    end

    # 正しいユーザーかどうか確認
    def correct_user
      @user = User.find(params[:id])
      redirect_to(root_url) unless @user == current_user
    end
end

一般的な慣習に倣って current_user? という論理値を返すメソッドを Session ヘルパーに追加し、しれを呼ぶようにリファクタリングを行う
- だから慣習って何よ。。。

10.2.3 フレンドリーフォワーディング

保護されたページにアクセスしようとすると、問答無用で自分のプロフィールページに移動させられてしまう
- リダイレクト先はユーザーが開こうとしていたページにしてあげるのが親切
フレンドリーフォワーディングのテストはシンプルに書くことができる

require 'test_helper'

class UsersEditTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end
  .
  .
  .
  test "successful edit with friendly forwarding" do
    get edit_user_path(@user)
    log_in_as(@user)
    assert_redirected_to edit_user_url(@user)
    name  = "Foo Bar"
    email = "foo@bar.com"
    patch user_path(@user), params: { user: { name:  name,
                                              email: email,
                                              password:              "",
                                              password_confirmation: "" } }
    assert_not flash.empty?
    assert_redirected_to @user
    @user.reload
    assert_equal name,  @user.name
    assert_equal email, @user.email
  end
end

ユーザーを希望のページに転送するには、リクエスト時点のページをどこかに保存しておき、その場所にリダイレクトさせる必要がある
- store_location と redirect_back_or の2つのメソッドを使って実現してみる

module SessionsHelper
  .
  .
  .
  # 記憶したURL (もしくはデフォルト値) にリダイレクト
  def redirect_back_or(default)
    redirect_to(session[:forwarding_url] || default)
    session.delete(:forwarding_url)
  end

  # アクセスしようとしたURLを覚えておく
  def store_location
    session[:forwarding_url] = request.original_url if request.get?
  end
end

store_location メソッドで before フィルター（ logged_in_user ）を修正してみる

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:edit, :update]
  before_action :correct_user,   only: [:edit, :update]
  .
  .
  .
  def edit
  end
  .
  .
  .
  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end

    # beforeアクション

    # ログイン済みユーザーかどうか確認
    def logged_in_user
      unless logged_in?
        store_location
        flash[:danger] = "Please log in."
        redirect_to login_url
      end
    end

    # 正しいユーザーかどうか確認
    def correct_user
      @user = User.find(params[:id])
      redirect_to(root_url) unless current_user?(@user)
    end
end

フォワーディング自体を実装するには、redirect_back_or メソッドを使用する
- リクエストされた URL が存在する場合はそこにリダイレクトし、ない場合は何らかのデフォルトの URL にリダイレクトする
- デフォルトの URL は、Session コントローラの create アクションに追加し、サインイン成功後にリダイレクトする
session.delete(:forwarding_url) という行を通して転送用の URL を削除している
- 次回ログイン時に保護されたページに転送されるのを防ぐため
- 転送用の URL を削除する動作は redirect 文の後に置かれていても実行される
  - 明示的に return 文やメソッド内の最終行が呼び出されない限り、リダイレクトは発生しない
    - 思わぬバグを踏みそうな仕様だ。。。

class SessionsController < ApplicationController
  .
  .
  .
  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      log_in user
      params[:session][:remember_me] == '1' ? remember(user) : forget(user)
      redirect_back_or user
    else
      flash.now[:danger] = 'Invalid email/password combination'
      render 'new'
    end
  end
  .
  .
  .
end

統合テストがパスし、基本ユーザー認証機能とページ保護機能の実装が完了
- 対して実装していないがこの機能が実現できる凄さよ

10.3 すべてのユーザーを表示する

すべてのユーザーを一覧表示する index アクションを追加する

10.3.1 ユーザーの一覧ページ

ユーザーの show ページについてはすべてのユーザーから見えるようにしておくが、ユーザーの index ページはログインしたユーザーにしか見せないようにし、未登録ユーザーがデフォルトで表示できるページを制限する
まずは index アクションのリダイレクトをテストする
- 例によって TDD

require 'test_helper'

class UsersControllerTest < ActionDispatch::IntegrationTest

  def setup
    @user       = users(:michael)
    @other_user = users(:archer)
  end

  test "should redirect index when not logged in" do
    get users_path
    assert_redirected_to login_url
  end
  .
  .
  .
end

before フィルターの logged_in_user に index アクションを追加し、このアクションを保護する

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:index, :edit, :update]
  before_action :correct_user,   only: [:edit, :update]

  def index
  end

  def show
    @user = User.find(params[:id])
  end
  .
  .
  .
end

すべてのユーザーを表示するために、全ユーザーが格納された変数を作成し、順々に表示する index ビューを実装する
- User.all を使って DB 上の全ユーザーを取得し、ビューで使えるインスタンス変数 @user に代入する

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:index, :edit, :update]
  .
  .
  .
  def index
    @users = User.all
  end
  .
  .
  .
end

ユーザーのindexビューを作成する

<% provide(:title, 'All users') %>
All users


  <% @users.each do |user| %>
    
      <%= gravatar_for user, size: 50 %>
      <%= link_to user.name, user %>
    
  <% end %>

SCSS 側も修正しておく

.
.
.
/* Users index */

.users {
  list-style: none;
  margin: 0;
  li {
    overflow: auto;
    padding: 10px 0;
    border-bottom: 1px solid $gray-lighter;
  }
}

最後にサイト内移動用のヘッダーにユーザー一覧表示用のリンクを追加する


  
    <%= link_to "sample app", root_path, id: "logo" %>
    
      
        <%= link_to "Home", root_path %>
        <%= link_to "Help", help_path %>
        <% if logged_in? %>
          <%= link_to "Users", users_path %>
          
            
              Account 
            
            
              <%= link_to "Profile", current_user %>
              <%= link_to "Settings", edit_user_path(current_user) %>
              
              
                <%= link_to "Log out", logout_path, method: :delete %>
              
            
          
        <% else %>
          <%= link_to "Log in", login_path %>
        <% end %>

10.3.2 サンプルのユーザー

Rubyを使ってユーザーを一気に作成してみる
Gemfile に Faker gem を追加して bundle install
- 中二心をくすぐる名前
- 実際にいそうなユーザー名を作成する gem
サンプルユーザーを追加する Ruby スクリプトを追加する
- Rails タスクとも言う
- db/seeds.rb というファイルが標準

User.create!(name:  "Example User",
            email: "example@railstutorial.org",
            password:              "foobar",
            password_confirmation: "foobar")

99.times do |n|
 name  = Faker::Name.name
 email = "example-#{n+1}@railstutorial.org"
 password = "password"
 User.create!(name:  name,
              email: email,
              password:              password,
              password_confirmation: password)
end

DB をリセットし、上記 Rails タスクを実行する
- 100人分なので少し時間がかかる

10.3.3 ページネーション

大量のユーザー表示に対応するためにページネーションを実装する
- Gemfile に will_paginate gem と bootstrap-will_paginate gem を追加する
  - gem で対応できるのが Rails っぽい
ページネーションが動作するには、ユーザーのページネーションを行うように Rails に指示するコードを index ビューに追加する必要がある
- まずはビューに will_paginate メソッドを追加する

<% provide(:title, 'All users') %>
All users

<%= will_paginate %>


  <% @users.each do |user| %>
    
      <%= gravatar_for user, size: 50 %>
      <%= link_to user.name, user %>
    
  <% end %>


<%= will_paginate %>

この will_paginate メソッドは、users ビューのコードの中から @users オブジェクトを自動的に見つけ出し、それから他のページにアクセスするためのページネーションリンクを作成している
- どうやってるの。。。
- @users 変数には User.all の結果が含まれているが、will_paginate では paginate メソッドを使った結果が必要なため上記コードはまだ動かない
paginate を使うことで、ユーザーのページネーションを行えるようになる
- index アクション内の all を paginate メソッドに置き換える

class UsersController < ApplicationController
 before_action :logged_in_user, only: [:index, :edit, :update]
 .
 .
 .
 def index
   @users = User.paginate(page: params[:page])
 end
 .
 .
 .
end

10.3.4 ユーザー一覧のテスト

ページネーションに対する簡単なテストを書く
- ログイン
- index ページにアクセス
- 最初のページにユーザーがいることを確認
- ページネーションのリンクがあることを確認
fixture に大量のユーザーを追加する必要があるが、手動は面倒
- 埋め込み Ruby を利用してさらに30人のユーザーを追加する
index ページに対するテストを書く
- いつものように TDD で

require 'test_helper'

class UsersIndexTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end

  test "index including pagination" do
    log_in_as(@user)
    get users_path
    assert_template 'users/index'
    assert_select 'div.pagination'
    User.paginate(page: 1).each do |user|
      assert_select 'a[href=?]', user_path(user), text: user.name
    end
  end
end

10.3.5 パーシャルのリファクタリング

index ビューのリファクタリングとして、ユーザーの li を render 呼び出しに置き換える

<% provide(:title, 'All users') %>
All users

<%= will_paginate %>


  <% @users.each do |user| %>
    <%= render user %>
  <% end %>


<%= will_paginate %>

render をパーシャルではなく、User クラスの user 変数に対して実行している
- この場合、Rails は自動的に _user.html.erb という名前のパーシャルを探しに行くので、このパーシャルを作成する必要がある


  <%= gravatar_for user, size: 50 %>
  <%= link_to user.name, user %>

さらに render を @users に対して直接実行する

<% provide(:title, 'All users') %>
All users

<%= will_paginate %>


  <%= render @users %>


<%= will_paginate %>

Rails は @users を User オブジェクトのリストであると推測する
ユーザーのコレクションを与えて呼び出すと、Rails は自動的にユーザーのコレクションを列挙し、それぞれのユーザーを _user.html.erb パーシャルで出力する
- いつもの黒魔術

10.4 ユーザーを削除する

ユーザー一覧ページは完成したので、残るは destroy だけ
まずは削除を実行できる admin ユーザ−のクラスを作成する

10.4.1 管理ユーザー

特権を持つ管理ユーザーを識別するために、論理値をとる admin 属性を User モデルに追加する
- 自動的に admin? メソッドも使えるようになる
  - なぜ？
いつものようにマイグレーションを実行して admin 属性を追加する

$ rails generate migration add_admin_to_users admin:booleanadmin:boolean

マイグレーションを実行すると、admin カラムが users テーブルに追加される
- default: false という引数を add_column に追加することにより、デフォルトでは管理者になれないということを示す

class AddAdminToUsers < ActiveRecord::Migration[5.0]
  def change
    add_column :users, :admin, :boolean, default: false
  end
end

いつものようにマイグレーションを実行する
- admin? メソッドも利用できるようになる
  - うーん黒魔術
最初のユーザーだけをデフォルトで管理者にするようにサンプルデータを更新する

User.create!(name:  "Example User",
            email: "example@railstutorial.org",
            password:              "foobar",
            password_confirmation: "foobar",
            admin: true)

99.times do |n|
 name  = Faker::Name.name
 email = "example-#{n+1}@railstutorial.org"
 password = "password"
 User.create!(name:  name,
              email: email,
              password:              password,
              password_confirmation: password)
end

DB をリセットし、サンプルデータを再度生成する
上記コードでは初期化ハッシュに admin: true を設定することでユーザーを管理者にしている
- 攻撃者が PATCH リクエストにより任意のユーザーの権限を書き換える可能性がある
- Stroing Parameters で対策

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end

許可された属性リストに admin が含まれていないため、任意のユーザーが自分自身にアプリケーションの管理者権限を与えることを防止できる
演習問題で少しハマる
- 失敗すべきテストが通ってしまう
- has_secure_password によって守られているため、テストでは @other_user 経由で passowrd と password_confirmation を呼び出せないのが原因（ググると同じ問題にハマっている人がいた）
- password と password_confirmation をベタ書きにすることで対応できた
  - しかし微妙になっとくできないのでもう少し調べてみよう。。。

10.4.2 destroy アクション

destroy アクションへのリンクを追加する
- ユーザー index ページの各ユーザーに削除用のリンクを追加し、管理ユーザーへのアクセスを制限する
  - 現在のユーザーが管理者のときに限り destroy リンクが表示されるようになる

  <% if current_user.admin? && !current_user?(user) %>
    | <%= link_to "delete", user, method: :delete,
                                  data: { confirm: "You sure?" } %>
  <% end %>

やはり erb 内に登場する if 文が気になる。。。
ブラウザではネイティブで DLETE リクエストを送信できないため、Railsでは JavaScript を使って偽造する
削除リンクを動作させるために destroy アクションを追加する
- 該当するユーザーを見つけて Acticve Record の destroy メソッドを使って削除し、最後にユーザー index に移動する

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:index, :edit, :update, :destroy]
  before_action :correct_user,   only: [:edit, :update]
  .
  .
  .
  def destroy
    User.find(params[:id]).destroy
    flash[:success] = "User deleted"
    redirect_to users_url
  end

  private
  .
  .
  .
end

コマンドラインで DELETE リクエストを直接発行するという方法でサイトの全ユーザーを削除するというセキュリティホールがまだある
- destroy アクションにもアクセス制限を行うことにより、管理者だけがユーザーを削除できるようになる
before フィルターで destroy アクションへのアクセスを制御する

class UsersController < ApplicationController
  before_action :logged_in_user, only: [:index, :edit, :update, :destroy]
  before_action :correct_user,   only: [:edit, :update]
  before_action :admin_user,     only: :destroy
  .
  .
  .
  private
    .
    .
    .
    # 管理者かどうか確認
    def admin_user
      redirect_to(root_url) unless current_user.admin?
    end
end

10.4.3 ユーザー削除のテスト

ユーザー削除のテストを書く
- fixture ファイルを修正してサンプルユーザーの一人を管理者にする
Users コントローラをテストするために、アクション単位でアクセス制御をテストする
- 削除をテストするために DELETE リクエストを発行して destroy アクションを直接動作させる
  - ログインしていないユーザーであればログイン画面へリダイレクト
  - ログイン済みユーザーであっても管理者でなければ、ホーム画面へリダイレクト

require 'test_helper'

class UsersControllerTest < ActionDispatch::IntegrationTest

  def setup
    @user       = users(:michael)
    @other_user = users(:archer)
  end
  .
  .
  .
  test "should redirect destroy when not logged in" do
    assert_no_difference 'User.count' do
      delete user_path(@user)
    end
    assert_redirected_to login_url
  end

  test "should redirect destroy when logged in as a non-admin" do
    log_in_as(@other_user)
    assert_no_difference 'User.count' do
      delete user_path(@user)
    end
    assert_redirected_to root_url
  end
end

管理者ユーザーの振る舞いも一緒に確認できると良い
- 管理者であればユーザー一覧画面に削除リンクが表示される仕様を利用してテストを追加する
- DELETE リクエストを適切な URL に向けて発行し、User.count でユーザー数が1減ったかどうかを確認する
- 管理者や一般ユーザーのテスト、ページネーションや削除リンクのテストをすべてまとめる

require 'test_helper'

class UsersIndexTest < ActionDispatch::IntegrationTest

  def setup
    @admin     = users(:michael)
    @non_admin = users(:archer)
  end

  test "index as admin including pagination and delete links" do
    log_in_as(@admin)
    get users_path
    assert_template 'users/index'
    assert_select 'div.pagination'
    first_page_of_users = User.paginate(page: 1)
    first_page_of_users.each do |user|
      assert_select 'a[href=?]', user_path(user), text: user.name
      unless user == @admin
        assert_select 'a[href=?]', user_path(user), text: 'delete'
      end
    end
    assert_difference 'User.count', -1 do
      delete user_path(@non_admin)
    end
  end

  test "index as non-admin" do
    log_in_as(@non_admin)
    get users_path
    assert_select 'a', text: 'delete', count: 0
  end
end

10.5 最後に

Web サイトとしての十分な基盤（ユーザーの認証認可）を整えたサンプルアプリケーションが出来上がった

所感

認可の仕組みやページネーションを実装し、よりWebアプリケーションらしさが増してきた一方、本来このチュートリアルから得たかったことからは徐々に離れつつある気もしてきている。Rails の特定な便利機能の動きを学べるのはプラスにはなるのだが、正直言ってあまり興味は持てない。とはいえ残り4章なので、最後まで頑張って走りきってみる。

静的型付け言語原理主義者によるRailsチュートリアル（第9章）

Sat, 22 Feb 2020 20:15:18 +0900

第9章発展的なログイン機構

永続クッキーを使用してブラウザを再起動した後でもすぐにログインできる機能を実装する

9.1 Remember me 機能

ユーザーのログイン状態をブラウザを閉じた後でも有効にする remember me 機能を実装していく
- ユーザーが明示的にログアウトを実行しない限り、ログイン状態を維持することができる

9.1.1 記憶トークンと暗号化

セッションの永続化の第一歩として記憶トークンを生成し、cookies メソッドによる永続的 cookies の生成や、安全性の高い記憶ダイジェストによるトークン認証にこの記憶トークンを活用する
session メソッドで保存した情報は自動的に安全性が保たれるが、cookies メソッドに保存する情報はそうではない
- cookies を永続化するとセッションハイジャックを受ける可能性がある
- cookies を盗み出す有名な方法とその対処法
  - パケットスニッファで直接 cookies を取り出す
    - SSL でネットワークデータを暗号化
  - DBから記憶トークンを取り出す
    - 記憶トークンのハッシュ値を保存
  - XSS
    - ビューのテンプレートで入力した内容は Rails によって自動的に対策される
  - 直接端末を操作
    - ログアウト時にトークンを変更し、デジタル署名を用いた情報表示で二次被害を最小限に留める
上記を考慮して永続的セッションを作成する
- 記憶トークンはランダム文字列で生成
- トークンは有効期限を設けて cookies に保存
- トークンはハッシュ値に変換して DB に保存
- cookies に保存するユーザー ID は暗号化する
- 永続ユーザー ID を含む cookies を受け取ったら、その ID で DB を検索し、記憶トークンの cookies が DB 内のハッシュ値を一致するかを確認する
最初に remember_digest 属性を User モデルに追加する

rails generate migration add_remember_digest_to_users remember_digest:string

相変わらず簡単にマイグレーションが作成される

class AddRememberDigestToUsers < ActiveRecord::Migration[5.0]
  def change
    add_column :users, :remember_digest, :string
  end
end

記憶ダイジェストはユーザーが直接読み出すことはないので、remember_digest カラムにインデックスを追加する必要はない
- 上記マイグレーションをそのまま使用する
記憶トークンとして何を使うか
- Ruby 標準ライブラリの SecureRandom モジュールにある urlsafe_base64 メソッドがこの用途にぴったり
同一のパスワードを持つユーザーが複数いても問題ないように、同一の記憶トークンを持つユーザーが複数しても問題はない
- とはいえトークンは一意である方が安全
ユーザーを記憶するには記憶トークンを作成し、そのトークンをダイジェストに変換したものを DB に保存する
User モデルのクラスメソッドとして新しいトークン作成用の new_token メソッドを追加する

class User < ApplicationRecord
  before_save { self.email = email.downcase }
  validates :name,  presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
  has_secure_password
  validates :password, presence: true, length: { minimum: 6 }

  # 渡された文字列のハッシュ値を返す
  def User.digest(string)
    cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
                                                  BCrypt::Engine.cost
    BCrypt::Password.create(string, cost: cost)
  end

  # ランダムなトークンを返す
  def User.new_token
    SecureRandom.urlsafe_base64
  end
end

記憶トークンをユーザーと関連付け、トークンに対応する記憶ダイジェストを DB に保存するために user.remember メソッドを作成する
マイグレーションは実行済みなので、User モデルには remember_digest 属性が追加されているが、remember_token 属性はまだ追加されていない
- user.remember_token メソッドを使ってトークンにアクセスできるようにし、かつトークンを DB に保存せずに実装する必要がある
  - attr_accessor を使って仮想の属性を作成する
最初に User.new_token で記憶トークンを作成し、続いて User.digest を適用した結果で記憶ダイジェストを更新する

class User < ApplicationRecord
  attr_accessor :remember_token
  .
  .
  .
  # 永続セッションのためにユーザーをデータベースに記憶する
  def remember
    self.remember_token = User.new_token
    update_attribute(:remember_digest, User.digest(remember_token))
  end
end

9.1.2 ログイン状態の保持

ユーザーの暗号化済み ID と記憶トークンをブラウザの永続 cookies に保存して永続セッションを作成する準備ができた
- 実際に行うには cookies メソッドを使う
- session のときと同様にハッシュとして扱える
  - 個別の cookie は value と expires からできている
- permanent メソッドで20年で期限切れになる cookie 設定が可能
ユーザー ID を cookies にそのまま保存するとセキュリティ上危険なため、cookie をブラウザに保存する前に安全に暗号化する署名付き cookie を使う
ユーザー ID と記憶トークンはペアで扱う必要があるため、cookie も永続化する

cookies.permanent.signed[:user_id] = user.id

cookies を設定すると、以後のページのビューで cookies からユーザーを取り出せるようになる

User.find_by(id: cookies.signed[:user_id])

cookies.signed[:user_id] では自動的にユーザー ID の cookies の暗号が解除され、元に戻る
続いて bcrypt を使って cookies[:remember_token] が remember_digest と一致することを確認する
仮に攻撃者が暗号化された ID を奪った場合、記憶トークンがなければそのまま攻撃者がログイン可能になってしまう
- 現在の設計の場合、本物のユーザーがログアウトすると攻撃者はログインできない設計になっている
最後に渡されたトークンがユーザーの記憶ダイジェストと一致することを確認する
- User モデルに authenticated? メソッドを作る

class User < ApplicationRecord
  attr_accessor :remember_token
  before_save { self.email = email.downcase }
  validates :name,  presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
  has_secure_password
  validates :password, presence: true, length: { minimum: 6 }

  # 渡された文字列のハッシュ値を返す
  def User.digest(string)
    cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
                                                  BCrypt::Engine.cost
    BCrypt::Password.create(string, cost: cost)
  end

  # ランダムなトークンを返す
  def User.new_token
    SecureRandom.urlsafe_base64
  end

  # 永続セッションのためにユーザーをデータベースに記憶する
  def remember
    self.remember_token = User.new_token
    update_attribute(:remember_digest, User.digest(remember_token))
  end

  # 渡されたトークンがダイジェストと一致したらtrueを返す
  def authenticated?(remember_token)
    BCrypt::Password.new(remember_digest).is_password?(remember_token)
  end
end

ログインしてユーザーを保存するため、remember ヘルパーメソッドを追加して log_in と連携させてみる

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      log_in user
      remember user
      redirect_to user
    else
      flash.now[:danger] = 'Invalid email/password combination'
      render 'new'
    end
  end

  def destroy
    log_out
    redirect_to root_url
  end
end

log_in のときと同様に、実際の Sessions ヘルパーの動作は remember メソッド定義の user.remember を呼び出すまで遅延され、そこで記憶トークンを生成してトークンのダイジェストを DB に保存する
続いて cookies メソッドでユーザー ID と記憶トークンの永続 cookies を作成する

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end

  # ユーザーのセッションを永続的にする
  def remember(user)
    user.remember
    cookies.permanent.signed[:user_id] = user.id
    cookies.permanent[:remember_token] = user.remember_token
  end

  # 現在ログインしているユーザーを返す (いる場合)
  def current_user
    if session[:user_id]
      @current_user ||= User.find_by(id: session[:user_id])
    end
  end

  # ユーザーがログインしていればtrue、その他ならfalseを返す
  def logged_in?
    !current_user.nil?
  end

  # 現在のユーザーをログアウトする
  def log_out
    session.delete(:user_id)
    @current_user = nil
  end
end

上記コードでは一時セッション用に作成した current_user が正常に動作しない
- 永続セッションの場合は session[:user_id] が存在すれば一時セッションからユーザーを取り出し、それ以外の場合は cookies[:user_id] からユーザーを取り出して、対応する永続セッションにログインする必要がある

module SessionsHelper

 # 渡されたユーザーでログインする
 def log_in(user)
   session[:user_id] = user.id
 end

 # ユーザーのセッションを永続的にする
 def remember(user)
   user.remember
   cookies.permanent.signed[:user_id] = user.id
   cookies.permanent[:remember_token] = user.remember_token
 end

 # 記憶トークンcookieに対応するユーザーを返す
 def current_user
   if (user_id = session[:user_id])
     @current_user ||= User.find_by(id: user_id)
   elsif (user_id = cookies.signed[:user_id])
     user = User.find_by(id: user_id)
     if user && user.authenticated?(cookies[:remember_token])
       log_in user
       @current_user = user
     end
   end
 end

 # ユーザーがログインしていればtrue、その他ならfalseを返す
 def logged_in?
   !current_user.nil?
 end

 # 現在のユーザーをログアウトする
 def log_out
   session.delete(:user_id)
   @current_user = nil
 end
end

残りの問題はブラウザの cookies を削除してユーザーをログアウトさせること

9.1.3 ユーザーを忘れる

ユーザーがログアウトできるようにするために、user.forget メソッドを定義する
- user.remember が取り消される
- 記憶ダイジェストを nil で更新する

class User < ApplicationRecord
  attr_accessor :remember_token
  before_save { self.email = email.downcase }
  validates :name,  presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
  has_secure_password
  validates :password, presence: true, length: { minimum: 6 }

  # 渡された文字列のハッシュ値を返す
  def User.digest(string)
    cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
                                                  BCrypt::Engine.cost
    BCrypt::Password.create(string, cost: cost)
  end

  # ランダムなトークンを返す
  def User.new_token
    SecureRandom.urlsafe_base64
  end

  # 永続セッションのためにユーザーをデータベースに記憶する
  def remember
    self.remember_token = User.new_token
    update_attribute(:remember_digest, User.digest(remember_token))
  end

  # 渡されたトークンがダイジェストと一致したらtrueを返す
  def authenticated?(remember_token)
    BCrypt::Password.new(remember_digest).is_password?(remember_token)
  end

  # ユーザーのログイン情報を破棄する
  def forget
    update_attribute(:remember_digest, nil)
  end
end

永続セッションを終了するには、forget ヘルパーメソッドを追加して log_out ヘルパーメソッドから呼び出す

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end
  .
  .
  .
  # 永続的セッションを破棄する
  def forget(user)
    user.forget
    cookies.delete(:user_id)
    cookies.delete(:remember_token)
  end

  # 現在のユーザーをログアウトする
  def log_out
    forget(current_user)
    session.delete(:user_id)
    @current_user = nil
  end
end

これでログアウトできるようになり、テストも通るようになった

9.1.4 2つの目立たないバグ

小さなバグが2つ残っている
- ひとつは複数タブで同じサイトを開いているときに、片方でログアウトした後、もう片方でログアウトしようとするとエラーになること
  - ユーザーがログイン中にのみログアウトさせる必要がある
- もうひとつはユーザーが複数のブラウザでログインしている場合に起こる
  - 片方でログアウトし、もう片方でログアウトせずにブラウザを終了して再度起動したときに問題が発生する
    - 終了した方のブラウザの中に cookies が残り続けているため、DB からユーザーを見つけることができてしまう
1つ目の問題への対応
- logged_in? が true の場合に限って log_out を呼び出すように修正する

class SessionsController < ApplicationController
  .
  .
  .
  def destroy
    log_out if logged_in?
    redirect_to root_url
  end
end

2つ目の問題への対応
- 統合テストで2種類のブラウザをシュミレートするのは困難
- その代わりに User モデルで直接テストする
- 記憶ダイジェストを持たないユーザーを用意し、authenticated? を呼び出す

require 'test_helper'

class UserTest < ActiveSupport::TestCase

  def setup
    @user = User.new(name: "Example User", email: "user@example.com",
                     password: "foobar", password_confirmation: "foobar")
  end
  .
  .
  .
  test "authenticated? should return false for a user with nil digest" do
    assert_not @user.authenticated?('')
  end
end

上記テストが成功するように修正する

class User < ApplicationRecord
  .
  .
  .
  # 渡されたトークンがダイジェストと一致したらtrueを返す
  def authenticated?(remember_token)
    return false if remember_digest.nil?
    BCrypt::Password.new(remember_digest).is_password?(remember_token)
  end

  # ユーザーのログイン情報を破棄する
  def forget
    update_attribute(:remember_digest, nil)
  end
end

9.2 [Remember me] チェックボックス

[remember me] チェックボックスをログインフォームに追加してでログインを保持する
- チェックボックスはヘルパーメソッドで作成可能
チェックボックスがオンのときにユーザーを記憶し、オフのときには記憶しないようにする
- 必要な準備は終わっているので実装は1行で完了する
  - 本当に？？？
[remember me] チェックボックスの送信結果を処理する

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      log_in user
      params[:session][:remember_me] == '1' ? remember(user) : forget(user)
      redirect_to user
    else
      flash.now[:danger] = 'Invalid email/password combination'
      render 'new'
    end
  end

  def destroy
    log_out if logged_in?
    redirect_to root_url
  end
end

9.3 [Remember me] のテスト

9.3.1 [Remember me] ボックスをテストする

テスト内でユーザーがログインするためのヘルパーメソッド log_in_as を定義
- session を直接操作して :user_id キーに user.id の値を代入する
統合テストでも同様のヘルパーメソッドを実装する
- 統合テストでは session を直接取り扱うことができないので、代わりに Sessions リソースに対して post を送信することで代用する

ENV['RAILS_ENV'] ||= 'test'
.
.
.
class ActiveSupport::TestCase
  fixtures :all

  # テストユーザーがログイン中の場合にtrueを返す
  def is_logged_in?
    !session[:user_id].nil?
  end

  # テストユーザーとしてログインする
  def log_in_as(user)
    session[:user_id] = user.id
  end
end

class ActionDispatch::IntegrationTest

  # テストユーザーとしてログインする
  def log_in_as(user, password: 'password', remember_me: '1')
    post login_path, params: { session: { email: user.email,
                                          password: password,
                                          remember_me: remember_me } }
  end
end

チェックボックスの動作を確認するため、チェックボックスがオンになっている場合とオフになっている場合のテストを作成する

require 'test_helper'

class UsersLoginTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end
  .
  .
  .
  test "login with remembering" do
    log_in_as(@user, remember_me: '1')
    assert_not_empty cookies['remember_token']
  end

  test "login without remembering" do
    # クッキーを保存してログイン
    log_in_as(@user, remember_me: '1')
    delete logout_path
    # クッキーを削除してログイン
    log_in_as(@user, remember_me: '0')
    assert_empty cookies['remember_token']
  end
end

9.3.2 [Remember me] をテストする

current_user 内のある複雑な分岐処理についてはこれまでまったくテストが行われていない
- テスト漏れが疑われる箇所に例外処理を入れて確認する
  - Ruby にも例外という概念があったのか

module SessionsHelper
  .
  .
  .
  # 記憶トークンcookieに対応するユーザーを返す
  def current_user
    if (user_id = session[:user_id])
      @current_user ||= User.find_by(id: user_id)
    elsif (user_id = cookies.signed[:user_id])
      raise       # テストがパスすれば、この部分がテストされていないことがわかる
      user = User.find_by(id: user_id)
      if user && user.authenticated?(cookies[:remember_token])
        log_in user
        @current_user = user
      end
    end
  end
  .
  .
  .
end

上記コードでテストが通ってしまうので、コードは正常ではない
log_in_as ヘルパーメソッドでは、session[:user_id] と定義しているため、current_user メソッドにある複雑な分岐処理を統合テストでチェックすることが非常に困難
- current_user を直接テストすれば、この制約を突破することができる
永続的セッションのテストを追加
- fixture でuser 変数を定義
- 渡されたユーザーを remember メソッドで記憶
- current_user が渡されたユーザーと同じであることを確認

require 'test_helper'

class SessionsHelperTest < ActionView::TestCase

  def setup
    @user = users(:michael)
    remember(@user)
  end

  test "current_user returns right user when session is nil" do
    assert_equal @user, current_user
    assert is_logged_in?
  end

  test "current_user returns nil when remember digest is wrong" do
    @user.update_attribute(:remember_digest, User.digest(User.new_token))
    assert_nil current_user
  end
end

9.4 最後に

基本的な認証機構に必要な残りの作業は、ログイン状態やログイン済みユーザー ID に基づいて、ページへのアクセス権限を制限する実装だけ

所感

cookies によるログイン状態の永続化を学ぶことができ、cookie まわりの良い復習になった章だった。脆弱性を考慮した実装も行ったので、セキュリティ周りの簡単な学びにも繋がった。

ここ数章は Rails を学ぶというより、Rails を通じて Web アプリケーションの作り方を学ぶことに楽しみを見出すようになってきたように思う。これまでは体系的に Web アプリケーション作成について学ぶ機会がなかったので、非常にありがたい。

静的型付け言語原理主義者によるRailsチュートリアル（第8章）

Wed, 12 Feb 2020 21:39:45 +0900

第8章基本的なログイン機構

ログインの基本的な仕組みを実装する
- ここでいうログインの基本的な仕組みとは、ブラウザがログインしている状態を保持し、ユーザーによってブラウザが閉じられた状態を破棄すると言った仕組みのこと

8.1 セッション

HTTP はステートレスなプロトコルなため、ユーザーログインの必要な Web アプリケーションでは半永続的な接続であるセッションをコンピュータ間で設定する
Rails でセッションを実装する最も一般的方法は、cookie を使用すること
- session という Rails メソッドで一時セッションが作成可能
  - 一時セッションはブラウザを閉じると自動的に終了する
セッションを RESTful なリソースとしてモデリングできると、他の RESTful リソースと統一的に理解できて便利
- ログインページでは new で新規セッションを出力
- そのページでログインすると create でセッションを実際に作成して保存
- ログアウトすると destroy でセッションを破棄

8.1.1 Sessions コントローラ

ログインとログアウトの要素を、Sessions コントローラの特定の REST アクションにぞれぞれ対応付ける
- ログインのフォームは new アクションで処理
- create アクションに POST リクエストを送信すると実際にログインする
- destroy アクションに DELETE リクエストを送信すると、ログアウトする
まずは Sessions コントローラと new アクションを生成
リソースを追加して標準的な RESTful アクションを get できるようにする

Rails.application.routes.draw do
  root   'static_pages#home'
  get    '/help',    to: 'static_pages#help'
  get    '/about',   to: 'static_pages#about'
  get    '/contact', to: 'static_pages#contact'
  get    '/signup',  to: 'users#new'
  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'
  resources :users
end

Sessions コントローラのテストで名前付きルートを使うようにする

require 'test_helper'

class SessionsControllerTest < ActionDispatch::IntegrationTest

  test "should get new" do
    get login_path
    assert_response :success
  end
end

rails routes コマンドで全ルーティングが出力可能
- このコマンドが業務で少しだけ触ったことがある
  - 今なら Controller#Action の意味がよく分かる

8.1.2 ログインフォーム

ログインフォームを整える
- ログインフォームとユーザー登録フォームは似ている
- ログインに失敗したときに表示するエラーメッセージはフラッシュメッセージで対応する
Rails では下記コードだけで「フォームの action は /users という URL への POST である」を自動的に判定する

form_for(@user)

しかしセッションの場合は Sessions モデルが存在しないので、リソースの名前とそれに対応するURLを具体的に指定する必要がある

form_for(:session, url: login_path)

適切な form_for を使うことで、ログインフォームを簡単に作成できる

<% provide(:title, "Log in") %>
Log in


  
    <%= form_for(:session, url: login_path) do |f| %>

      <%= f.label :email %>
      <%= f.email_field :email, class: 'form-control' %>

      <%= f.label :password %>
      <%= f.password_field :password, class: 'form-control' %>

      <%= f.submit "Log in", class: "btn btn-primary" %>
    <% end %>

    New user? <%= link_to "Sign up now!", signup_path %>

8.1.3 ユーザーの検索と認証

ログインでセッションを作成する場合に最初に行うのは、入力が無効な場合の処理
最小限の create アクションを Session コントローラで定義し、空の new アクションと destroy アクションもついでに作成しておく

class SessionsController < ApplicationController

  def new
  end

  def create
    render 'new'
  end

  def destroy
  end
end

/sessions/new フォームで送信する params ハッシュでは sessions キーの下にメールアドレスとパスワードがある
- create アクションの中ではユーザーの認証に必要なあらゆる情報を params ハッシュから取り出せる
以上を踏まえてユーザーをデータベースから見つけて検証する

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      # ユーザーログイン後にユーザー情報のページにリダイレクトする
    else
      # エラーメッセージを作成する
      render 'new'
    end
  end

  def destroy
  end
end

DBから取り出したメールアドレスを downcase で有効なメールアドレスに確実にマッチすうようにするのは Rails では定番の手法

8.1.4 フラッシュメッセージを表示する

ログインに失敗したときにはフラッシュメッセージを表示する

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      # ユーザーログイン後にユーザー情報のページにリダイレクトする
    else
      flash[:danger] = 'Invalid email/password combination' # 本当は正しくない
      render 'new'
    end
  end

  def destroy
  end
end

上記コードにはフラッシュメッセージが一度表示されると残り続けるという問題がある
- Home ページに移動しても残っている

8.1.5 フラッシュのテスト

フラッシュメッセージが消えないのはバグなのでまずはテストを書く
- ログイン用のパスを開く
- 新しいセッションのフォームが正しく表示されたことを確認する
- わざと無効な params ハッシュを使ってセッション用パスに POST する
- 新しいセッションのフォームが再度送信され、フラッシュメッセージが追加されることを確認する
- 別のページにいったん移動する
- 移動先のページでフラッシュメッセージが表示されていないことを確認する

require 'test_helper'

class UsersLoginTest < ActionDispatch::IntegrationTest

  test "login with invalid information" do
    get login_path
    assert_template 'sessions/new'
    post login_path, params: { session: { email: "", password: "" } }
    assert_template 'sessions/new'
    assert_not flash.empty?
    get root_path
    assert flash.empty?
  end
end

上記テストがこれだけのコードで確認できるのはやはりすごい…
flash を flash.now に変更すればレンダリングが終わっているページで特別にフラッシュメッセージを表示できる
- flash.now のメッセージはその後のリクエストが発生したときに消滅する

8.2 ログイン

実際にログイン中の状態での有効な値の送信をフォームで正しく扱えるようにする
cookie を使った一時セッションでユーザーをログインできるようにする
- ブラウザを閉じると自動的に有効期限が切れるもの
Session コントローラを生成した時点ですでにセッション用ヘルパーモジュールも自動生成されている
- Rails のセッション用ヘルパーはビューにも自動的に読み込まれる
- Rails の全コントローラの親クラスである Application コントローラにこのモジュールを読み込ませれば、どのコントローラでも使えるようになる
  - 安易な共有だ

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception
  include SessionsHelper
end

8.2.1 log_in メソッド

Rails で事前定義済みの session メソッドを使って、単純なログインを行えるようにする
- session メソッドはハッシュのように扱える

session[:user_id] = user.id

上記コードを実行すると、ユーザーのブラウザ内の一時 cookies に暗号化済みのユーザー ID が自動で作成される
- どうやっているのか。。。
- この一時 cookie はブラウザを閉じた瞬間に有効期限が終了する
同じログイン手法を使い回せるように、Sessions ヘルパーに log_in という名前のメソッドを定義する

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end
end

session メソッドで作成した一時 cookie は自動的に暗号化される
- 一時 cookie なので攻撃者に盗まれてもそれを使って本物のユーザーとしてログインすることは不可能
ユーザーログインを行ってセッションの create アクションを完了し、ユーザーのプロフィールページにリダイレクトする

8.2.2 現在のユーザー

一時セッション内にあるユーザー ID を別のページで取り出す
- current_user メソッドでDBからユーザー名を取り出す

def current_user
  if session[:user_id]
    User.find_by(id: session[:user_id])
  end
end

セッションにユーザー ID が存在しない場合、上記コードは nil を返す
- DBへの問い合わせ回数を減らす
User.find_by の結果をインスタンス変数に保存
- 1リクエスト内におけるデータベースへの問い合わせは最初の1回だけとなる
ユーザーがログインしているかどうかに応じてアプリケーションの動作を変更するための準備が整った

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end

  # 現在ログイン中のユーザーを返す (いる場合)
  def current_user
    if session[:user_id]
      @current_user ||= User.find_by(id: session[:user_id])
    end
  end
end

8.2.3 レイアウトリンクを変更する

ユーザーがログインしているといないときでレイアウトを変更してみる
考えられるのは、ERB コードの中で条件分岐すること
- お手軽だけど変更が入ると辛そう。。。

<% if logged_in? %>
  # ログインユーザー用のリンク
<% else %>
  # ログインしていないユーザー用のリンク
<% end %>

上記コードを書くためには論理値を返す logged_in? メソッドが必要
ユーザーがログイン中の状態とは、session にユーザー id が存在している、すなわち current_user が nil でないこと

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end

  # 現在ログイン中のユーザーを返す (いる場合)
  def current_user
    if session[:user_id]
      @current_user ||= User.find_by(id: session[:user_id])
    end
  end

  # ユーザーがログインしていればtrue、その他ならfalseを返す
  def logged_in?
    !current_user.nil?
  end
end

ログイン中のユーザー用のレイアウトのリンクを変更する


  
    <%= link_to "sample app", root_path, id: "logo" %>
    
      
        <%= link_to "Home", root_path %>
        <%= link_to "Help", help_path %>
        <% if logged_in? %>
          <%= link_to "Users", '#' %>
          
            
              Account 
            
            
              <%= link_to "Profile", current_user %>
              <%= link_to "Settings", '#' %>
              
              
                <%= link_to "Log out", logout_path, method: :delete %>
              
            
          
        <% else %>
          <%= link_to "Log in", login_path %>
        <% end %>

Bootstrap のドロップダウンメニュー機能を適用できる状態になったので、この機能を有効化するために Rails の application.js に Bootstrap の JavaScript ライブラリを追加する
ログインパスにアクセスして有効なユーザーとしてログインできるようになった

8.2.4 レイアウトの変更をテストする

以下の流れの統合テストを作成する
- ログイン用のパスを開く
- セッション用パスに有効な情報を post する
- ログイン用リンクが表示されなくなったことを確認する
- ログアウト用リンクが表示されていることを確認する
- プロフィール用リンクが表示されていることを確認する
Rails ではテスト用データを fixture で作成できる
- digest メソッドを独自に定義し、 password_digest 属性をユーザーの fixure に追加する
digest メソッドは User モデルにクラスメソッドとして追加する

class User < ApplicationRecord
  before_save { self.email = email.downcase }
  validates :name,  presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
  has_secure_password
  validates :password, presence: true, length: { minimum: 6 }

  # 渡された文字列のハッシュ値を返す
  def User.digest(string)
    cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
                                                  BCrypt::Engine.cost
    BCrypt::Password.create(string, cost: cost)
  end
end

有効なユーザーを表す fixture を作成できるようになった

michael:
  name: Michael Example
  email: michael@example.com
  password_digest: <%= User.digest('password') %>

fixture では ERB を利用できる

<%= User.digest('password') %>

上記コードでテストユーザー用の有効なパスワードを作成できる
fixture ではハッシュ化されていない生のパスワードは参照できない
テストで fixture のデータを参照するように変更する

require 'test_helper'

class UsersLoginTest < ActionDispatch::IntegrationTest

  def setup
    @user = users(:michael)
  end
  .
  .
  .
  test "login with valid information" do
    get login_path
    post login_path, params: { session: { email:    @user.email,
                                          password: 'password' } }
    assert_redirected_to @user
    follow_redirect!
    assert_template 'users/show'
    assert_select "a[href=?]", login_path, count: 0
    assert_select "a[href=?]", logout_path
    assert_select "a[href=?]", user_path(@user)
  end
end

8.2.5 ユーザー登録時にログイン

ユーザー登録中にログインを済ませる
- Users コントローラの create アクションに log_in を追加するだけ

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end

  def create
    @user = User.new(user_params)
    if @user.save
      log_in @user
      flash[:success] = "Welcome to the Sample App!"
      redirect_to @user
    else
      render 'new'
    end
  end

  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end
end

テストにおいてユーザーがログイン中かどうかをチェックするため、is_logged_in? メソッドを定義しておく
- テストのセッションにユーザーがあれば true を返し、それ以外の場合は false を返す
ヘルパーメソッドはテストから呼び出せないので、 current_user は使えない
- session メソッドで代用する

ENV['RAILS_ENV'] ||= 'test'
.
.
.
class ActiveSupport::TestCase
  fixtures :all

  # テストユーザーがログイン中の場合にtrueを返す
  def is_logged_in?
    !session[:user_id].nil?
  end
end

上記コードを使うと、ユーザー登録の終わったユーザーがログイン状態になっているかどうかを確認できる

require 'test_helper'

class UsersSignupTest < ActionDispatch::IntegrationTest
  .
  .
  .
  test "valid signup information" do
    get signup_path
    assert_difference 'User.count', 1 do
      post users_path, params: { user: { name:  "Example User",
                                         email: "user@example.com",
                                         password:              "password",
                                         password_confirmation: "password" } }
    end
    follow_redirect!
    assert_template 'users/show'
    assert is_logged_in?
  end
end

8.3 ログアウト

このアプリケーションではユーザーが明示的にログアウトするまではログイン状態を保てなくてはならない
ログアウト用リンクは作成済みなのでユーザーセッションを破棄するための有効なアクションをコントローラで作成する
RESTful ルールに従い、destroy アクションを作成する
ログアウト処理ではセッションからユーザー ID を削除する
- delete メソッドを実行するだけ
- 現在のユーザーを nil に設定できる

session.delete(:user_id)

Session ヘルパーモジュールに配置する log_out メソッドとして上記コードを定義する

module SessionsHelper

  # 渡されたユーザーでログインする
  def log_in(user)
    session[:user_id] = user.id
  end
  .
  .
  .
  # 現在のユーザーをログアウトする
  def log_out
    session.delete(:user_id)
    @current_user = nil
  end
end

ここで定義した log_out メソッドは、Session コントローラの destroy アクションでも使用する

class SessionsController < ApplicationController

  def new
  end

  def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      log_in user
      redirect_to user
    else
      flash.now[:danger] = 'Invalid email/password combination'
      render 'new'
    end
  end

  def destroy
    log_out
    redirect_to root_url
  end
end

ログアウト機能をテストするために、ユーザーログインのテストを修正する
- ログイン後、delete メソッドで DELETE リクエストをログアウト用パスに発行し、ユーザーがログアウトしてルート URL にリダイレクトされたことを確認する
以上でサンプルアプリケーションの基本となるユーザー登録・ログイン・ログアウトの機能が完成

8.4 最後に

サンプルアプリケーションのログイン機構を実装した
次はセッションより長くログイン情報を維持する

所感

ついにログインの機構を実装した。session や cookie の話も出てきていよいよ Web アプリケーションの開発をしている感が増してきた。フラッシュメッセージという概念は初耳だったのだが、Rails アプリでは一般的に使われるものなのだろうか？また、ERB の中での条件分岐も一般的なのだろうか？単純な if 文であれば問題ないかもしれないが、少しでも分岐するとカオスなロジックが生まれる土壌になるのではと危惧してしまった。

静的型付け言語原理主義者によるRailsチュートリアル（第7章）

Fri, 31 Jan 2020 22:28:48 +0900

第7章ユーザー登録

いよいよユーザー登録機能を追加
- HTML フォームを使って Web アプリケーションに登録情報を送信する
- ユーザーを新規作成して情報を DB に保存する

7.1 ユーザーを表示する

ユーザーの名前とプロフィール写真を表示するためのページを作成する

7.1.1 デバッグと Rails 環境

このアプリにおける初めての真に動的なページを作成する
- Web サイトのレイアウトにデバッグ情報を追加する
- ビルトインの debug メソッドと param 変数を使ってページにデバッグ情報が表示されるようになる



  .
  .
  .
  
    <%= render 'layouts/header' %>
    
      <%= yield %>
      <%= render 'layouts/footer' %>
      <%= debug(params) if Rails.env.development? %>

本番環境でデバッグ情報を表示しないための if Rails
- Rails には3つの環境がデフォルトで用意されている
  - テスト環境 (test)
  - 開発環境 (development)
  - 本番環境 (production)
デバッグ情報整形のために CSS も更新

7.1.2 Users リソース

DBに登録されているユーザー情報を Web アプリケーション上に表示する
- REST アーキテクチャの慣習に従う
  - データの作成、表示、更新、削除をリソースとして扱う
ユーザーをリソースとみなす場合、id = 1 のユーザーを参照するということは、/users/1 という URL に対して GET リクエストを発行することを意味する
- ここでの show というアクションは暗黙のリクエストになる
- Rails のREST 機能が有効になっていると、GET リクエストは自動的に show アクションとして扱われる
  - すなわち Rails はREST 機能を有効無効にできるということか
/users/1 のURL を有効にするために、 config/routes.rb を更新

Rails.application.routes.draw do
  root 'static_pages#home'
  get  '/help',    to: 'static_pages#help'
  get  '/about',   to: 'static_pages#about'
  get  '/contact', to: 'static_pages#contact'
  get  '/signup',  to: 'users#new'
  resources :users
end

この1行の追加で RESTful な Users リソースで必要となる全てのアクションが利用可能になる
ユーザー情報表示用の仮のビューを作成

<%= @user.name %>, <%= @user.email %>

Users コントローラの show アクションに対応する @user 変数を定義する

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
  end
end

Users コントローラにリクエストが正常に送信されると、 params[:id] の部分はユーザー id の1に置き換わる
- つまり、 User.find(1) と同じ
ビューとアクションが定義されたので、/users/1 は動作するようになった

7.1.1 debugger メソッド

byebug gem でより直接的なデバッグが可能

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
    debugger
  end

  def new
  end
end

ターミナルで Rails コンソールのようにコマンドを呼び出すことが可能になる
- gdb みたい

7.1.4 Gravatar 画像とサイドバー

ユーザーのプロフィール写真で Gravatar を使用する
gravatar_for ヘルパーメソッドで Gravatar の画像を利用できるようになる
Gravatar の URL はユーザーのメールアドレスを MD5 でハッシュ化している
- Ruby では Digest ライブラリの hexdigest メソッドで MD5 のハッシュ化が実現できる

module UsersHelper

  # 引数で与えられたユーザーのGravatar画像を返す
  def gravatar_for(user)
    gravatar_id = Digest::MD5::hexdigest(user.email.downcase)
    gravatar_url = "https://secure.gravatar.com/avatar/#{gravatar_id}"
    image_tag(gravatar_url, alt: user.name, class: "gravatar")
  end
end

モックアップに近づけるため、ユーザーのサイドバーを作っていく
HTML 要素と CSS クラスを配置したことにより、プロフィールページに SCSS でスタイルを与えることができるようになった
- これは Asset Pipeline でSass エンジンが使われている場合に限られる

7.2 ユーザー登録フォーム

ユーザー登録フォームを作る

7.2.1 form_for を使用する

form_for ヘルパーメソッドをユーザー登録ページで使う
- Active Record のオブジェクトを取り込み、そのオブジェクトの属性を使ってフォームを構築する
ユーザー登録ページ /signup のルーティングはUsers コントローラーの new アクション紐付けられている
- new アクションに @user 変数を追加する

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end
end

フォームは SCSS で見栄えを整える

7.2.2 フォーム HTML

<%= form_for(@user) do |f| %>

f というオブジェクトは、HTML フォーム要素に対応するメソッドが呼び出されると、@user の属性を設定するための HTML を返す

<%= f.label :name %>
<%= f.text_field :name %>

上記では、User モデルの name 属性を設定するラベル付きテキストフィールド要素を作成するのに必要な HTML を返す
- 埋め込み Ruby からモデルの属性を設定できる…だと…
テキストフィールドでは内容をそのまま表示
パスワードフィールドではセキュリティの都合上文字が隠蔽される
- 完璧な気遣い
ユーザーの作成で重要なのは input ごとにある特殊な name 属性

Rails は name の値を使い、初期化したハッシュを構成する
- このハッシュは入力された値に基づいてユーザーを作成するときに使われる
Rails は form タグを作成するときに @user オブジェクトを使う
- すべての Ruby クラスは自分のクラスを知っているので、Rails は @user のクラスが User であることを認識する
- また、@user は新しいユーザーなので、Rails は post メソッドを使ってフォームを構築すべきだと判断する

上記 class と id 属性はアーキテクチャとしては基本的に無関係
/users に対して HTTP の POST リクエストを送信するということが大事

7.3 ユーザー登録失敗

フォームを理解するにはユーザー登録の失敗のときが最も参考になる

7.3.1 正しいフォーム

/users への POST リクエストは create アクションに送られる
- create アクションでフォーム送信を受け取り、 User.new を使って新しいユーザーオブジェクトを作成し、ユーザーを保存し、再度の送信用のユーザー登録ページを表示する
  - やること多いな
ユーザー登録の失敗に対応できる create アクションを定義

class UsersController < ApplicationController

  def show
    @user = User.find(params[:id])
  end

  def new
    @user = User.new
  end

  def create
    @user = User.new(params[:user])    # 実装は終わっていないことに注意!
    if @user.save
      # 保存の成功をここで扱う。
    else
      render 'new'
    end
  end
end

不正なデータでユーザー登録しようとするとエラーになる
パラメーターハッシュの user は Users コントローラに params として渡される
- このハッシュのキーが、 input タグにあった name 属性の値になる

例えば user[email] は user ハッシュの :email キーの値と一致する
Rails は文字列ではなく params[:user] のようにシンボルとして Users コントローラにハッシュのキーを渡している
つまり、下記の2つのコードはほぼ同じである

@user = User.new(params[:user])

@user = User.new(name: "Foo Bar", email: "foo@invalid", password: "foo", password_confirmation: "bar")

昔のバージョンの Rails では1つ目のコードでも動いたが、脆弱性があったため Rails 4.0 移行ではエラーとしている
- Strong Parameters というテクニックで対策することを標準とした

7.3.2 Strong Parameters

値のハッシュを使って Ruby の変数を初期化することをマスアサインメントという

@user = User.new(params[:user])    # 実装は終わっていないことに注意!

params ハッシュ全体を初期化することは、ユーザーが送信したデータをまるごと User.new に渡していることになり、セキュリティ上極めて危険
以前のバージョンの Rails ではモデル層で attr_accessible を使うことで防止していたが、 Rails 4.0 ではコントローラ層で Strong Parameters というテクニックを使うことが推奨されている。
- Strong Pararmeters を使うことにより、必須パラメータと許可されたパラメータを指定することが可能
- さらに、prams ハッシュを丸ごと渡すとエラーが発生する

params.require(:user).permit(:name, :email, :password, :password_confirmation)

上記の params ハッシュでは :user 属性を必須とし、名前、メールアドレス、パスワード、パスワードの確認をそれぞれ許可し、それ以外を許可しないようにしている
上記コードの戻り値は、許可された属性のみが含まれた params のハッシュ
これらのパラメータを使いやすくするために、user_params という外部メソッドを使うのが慣習
- このメソッドは適切に初期化したハッシュを返し、params[:user] の代わりとして使われる
  - Rails でよく出てくる慣習の由来とは何なんだろう 🤔

@user = User.new(user_params)

この user_params メソッドは Users コントローラの内部でのみ実行され、Web 経由で外部ユーザーにさらされる必要はないため、Ruby の private キーワードを使って外部から使えないようにする
- クラス内に唐突に現れる private 空間は inner class 的なものだろうか

class UsersController < ApplicationController

  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end
end

7.3.3 エラーメッセージ

ユーザー登録に失敗したときのエラーメッセージ
- Rails はこのようなメッセージを Users モデルの検証時に自動的に生成してくれる
モデルの保存に失敗するうと、@user オブジェクトに関連付けられたエラーメッセージの一覧が生成される
- ユーザーの new ページでエラーメッセージのパーシャルを出力する
- パーシャルとは部分テンプレートのこと
- form_control という CSS クラスも一緒に追加することで、Bootstrap がうまく取り扱ってくれるようになる

<% provide(:title, 'Sign up') %>
Sign up


  
    <%= form_for(@user) do |f| %>
      <%= render 'shared/error_messages' %>

      <%= f.label :name %>
      <%= f.text_field :name, class: 'form-control' %>

      <%= f.label :email %>
      <%= f.email_field :email, class: 'form-control' %>

      <%= f.label :password %>
      <%= f.password_field :password, class: 'form-control' %>

      <%= f.label :password_confirmation, "Confirmation" %>
      <%= f.password_field :password_confirmation, class: 'form-control' %>

      <%= f.submit "Create my account", class: "btn btn-primary" %>
    <% end %>

Rails 全般の慣習として、複数のビューで使用されるパーシャルは専用の shared ディレクトリに置かれる
フォーム送信時にエラーメッセージを表示するためのパーシャル

<% if @user.errors.any? %>
  
    
      The form contains <%= pluralize(@user.errors.count, "error") %>.
    
    
    <% @user.errors.full_messages.each do |msg| %>
      <%= msg %>
    <% end %>
    
  
<% end %>

pluuralize という英語専用のテキストヘルパー
- 最初の引数に整数が与えられると、それに基づいて2番目の引数の英単語を複数形に変更したものを返す
  - なんて細かいヘルパーなのか
SCSS でエラーメッセージを整形し、無効なユーザー登録情報を送信したときにわかりやすいエラーメッセージを表示する準備は完了
ただし、presence:true によるバリデーションも、has_secure_password によるバリデーションも、空のパスワード(nil)を検知してしまうため、ユーザー登録フォームで空のパスワードを入力すると2つの同じエラーメッセージが表示されてしまう
- allow_nil:true というオプションでこの問題は解決可能

7.3.4 失敗時のテスト

Rails ではフォーム用のテストを書くことが可能
- 無効な送信をしたときの正しい振る舞いについてテストを書いていく
新規ユーザー登録用の統合テストを生成
ユーザーが作成されないことを確認するテストから
- 現在のユーザー数を覚えた後にデータを投稿し、ユーザー数が変わらないかどうかを検証する
  - assert_no_difference を使うのが慣習

7.4 ユーザー登録成功

新規ユーザーを実際にデータベースに保存できるようにする

7.4.1 登録フォームの完成

まだ登録フォームは正常に動かない
- Rails はデフォルトのアクションに対応するビューを表示しようとするが、create アクションに対応するビューのテンプレートがないことが原因
- create アクションに対応するテンプレートを作成することも可能だが、Rails の一般的な慣習に倣いユーザー登録成功時にはページを描画せずに別のページにリダイレクトさせる
  - 具体的には新規作成されたユーザーのプロフィールページへリダイレクト

redirect_to @user

これだけでリダイレクト可能
- つよい
上記コードは以下のコードと等価

redirect_to user_url(@user)

無事ユーザー登録→プロフィールページリダイレクトが実装できた

7.4.2 flash

ユーザー情報登録完了後、表示されるページにメッセージを表示し、2度目以降にはそのページにメッセージを表示しないようにする
- Rails では flash という変数を使用する
ユーザー登録ページにフラッシュメッセージを追加する
- :success というキーに成功時のメッセージを代入

class UsersController < ApplicationController
  .
  .
  .
  def create
    @user = User.new(user_params)
    if @user.save
      flash[:success] = "Welcome to the Sample App!"
      redirect_to @user
    else
      render 'new'
    end
  end

  private

    def user_params
      params.require(:user).permit(:name, :email, :password,
                                   :password_confirmation)
    end
end

flash 変数に代入したメッセージは、リダイレクトした直後のページに表示できるようになる
- flash 内に存在するキーがあるかを調べ、もしあればその値をすべて表示するようにレイアウトを修正する

7.4.3 実際のユーザー登録

実際にサンプルアプリケーションでユーザー登録を試してみる
ユーザー登録後に無事フラッシュメッセージが表示された！
- 僅かな修正だけでメッセージが表示される凄さよ

7.4.4 成功時のテスト

有効な送信に対するテストを追加する
assert_difference で有効なユーザー登録をテストする

require 'test_helper'

class UsersSignupTest < ActionDispatch::IntegrationTest
  .
  .
  .
  test "valid signup information" do
    get signup_path
    assert_difference 'User.count', 1 do
      post users_path, params: { user: { name:  "Example User",
                                         email: "user@example.com",
                                         password:              "password",
                                         password_confirmation: "password" } }
    end
    follow_redirect!
    assert_template 'users/show'
  end
end

ユーザー登録成功後、どのテンプレートが表示されているかも検証する
- ビューのテストもここでやることに驚き

7.5 プロのデプロイ

プロレベルのデプロイ
- とは
ユーザー登録をセキュアにするために本番用のアプリケーションに機能を追加する

7.5.1 本番環境での SSL

サンプルアプリケーションのセキュリティの欠陥
- SSL を使用していないこと
  - たしかに
production.rb という本番用の設定ファイルを修正するだけ
- まじかよ。。。
Heroku では SSL の使用をブラウザに強制しない
- SSL を強制するように変更する

Rails.application.configure do
  .
  .
  .
  # Force all access to the app over SSL, use Strict-Transport-Security,
  # and use secure cookies.
  config.force_ssl = true
  .
  .
  .
end

サーバーの SSL セットアップ
- Heroku の SSL 証明書に便乗する
  - Heroku のサブドメインでのみ有効な手段

7.5.2 本番環境用の Web サーバー

Heroku のデフォルト Web サーバーは WEBrick だが、著しいトラフィックを扱うのには適していない
- Puma に置き換える
  - Puma は聞いたことがある！
Rails 5 では Puma はデフォルトで Gemfile に追加されている
- つよい
config/puma.rb を修正
Heroku 上で Puma のプロセスを走らせるために./Procfile を作成

7.5.3 本番環境へのデプロイ

heroku へデプロイして完了！と思いきやここでドはまり
エラーでアプリが起動しない
heroku logs --tail でログを見る
- Address already in use - bind(2) for 0.0.0.0:xxxxx (Errno::EADDRINUSE)
- どうやらポートがすでに使われているらしい
  - しかし何もしていないぞ…？（何かしているやつのセリフ）
色々ググって格闘し、config/puma.rb の設定ミスと判明
デフォルトの設定にチュートリアル記載の設定を追記したが、実は置き換えが正解だったようだ
- 中身をきちんと呼んでいればポート番号の重複に気づけたのではと反省
ようやく heroku でも起動してめでたしめでたし

所感

ユーザー登録という機能を実装するために、わずかな量のコードしか追加していない。Rails の真骨頂を見たような章だった。一方、強力すぎるがゆえに変更には弱いのではという印象が強まってきた。短期立ち上げが必要でかつ継続的開発を行わない Web アプリにおいては Rails は有力な候補になるのではと感じている。

また、「Rails の慣習」というワードがよく出てきたのもこの章の特徴であったように思える。慣習とはどこからやってくるのか 🤔

静的型付け言語原理主義者によるRailsチュートリアル（第6章）

Fri, 17 Jan 2020 20:37:02 +0900

第6章ユーザーのモデルを作成する

第6章から第12章を通して Rails のログインと認証システムを一通り開発する
第6章ではユーザー用のデータモデルの作成と、データを保存する手段の確保について

6.1 User モデル

ユーザー登録のために必要なのは、まずは情報を保存するためのデータ構造を作成すること
Rails ではデータモデルとして扱うデフォルトのデータ構造のことをモデルと呼ぶ
- データ永続化のデフォルトの選択肢はデータベース
- データベースとやりとりするデフォルトのライブラリは Active Record
  - SQLを意識しなくてよい
    - 意識しなくてよいことのメリットよりも、ブラックボックス化するデメリットの方が大きいと思えてならない
- Rails にはマイグレーション機能もある
- データ定義を Ruby で記述可能
  - Rails はデータベースの細部をほぼ完全に隠蔽し、切り離してくれる

6.1.1 データベースの移行

永続化可能なユーザーのモデルを作成する
モデルを作成するときには generate model コマンドを使用する
- Rails の慣習として、コントローラ名には複数形を、モデル名には単数形を用いる
- マイグレーションファイルやテストクラスも作成される便利コマンド
- マイグレーションファイルによりインクリメンタルな変更が可能になる
- マイグレーション自体はデータベースに与える変更を定義した change メソッドの集合体
- t.timestamp により created_at と updated_at のマジックカラムが生成される
  - このカラム名、業務で見たことのあるやつだ…！！
  - 作成・更新時に自動更新される
マイグレーションは rails db:migrate で実行可能
- db/schema.rb が更新される
rails db:rollback でもとに戻すことも可能
- ロールバックすると db/schema.rb の内容も元に戻る
- 中では drop_table を呼び出している
  - こわやこわや

6.1.2 model ファイル

以後モデル用ファイルを理解することに専念する

6.1.3 ユーザーオブジェクトを作成する

Rails コンソールをサンドボックスモードで起動
- すべての変更は終了時にロールバックされる
User.new を引数無しで呼んだ場合はすべての属性が nil
user.valid? でオブジェクトの有効性が確認できる
DBに保存するためには user.save する必要がある
- これだけでSQLが実行される
- 当然クエリは指定できない
Active Record では User.create でモデルの生成と保存を同時に行うことが可能
- 相変わらず強力。。。
- destroy で delete 可能
  - SQLはもちろん自動的に実行される
  - destroy しても削除されたオブジェクトはまだメモリ上に残っている点に注意
    - 本当に削除されたのかはどうやって分かるのか？？

6.1.4 ユーザーオブジェクトを検索する

Active Record ではオブジェクトを検索する方法が複数ある
- find メソッドで結果が得られなかったときは例外が発生する
  - ActiveRecord::RecordNotFound
- 属性でユーザーを検索することも可能
- find だけでなく first や all もある

6.1.5 ユーザーオブジェクトを更新する

基本的な更新方法は2つ
- ひとつは属性を個別に代入する
  - save を忘れずに
- もうひとつは update_attributes を使う方法

>> user.update_attributes(name: "The Dude", email: "dude@abides.org")
=> true
>> user.name
=> "The Dude"
>> user.email
=> "dude@abides.org"

update_attributes メソッドは属性のハッシュを受け取り、成功時には更新と保存を続けて同時に行う
- どんな SQL が吐かれているのか？単純に update しているだけ？
- 検証に一つでも失敗すると、この処理は成功しない

6.2 ユーザーを検証する

User モデルの属性に制限を設ける
- Active Record の Validationを使う

6.2.1 有効性を検証する

バリデーション機能実装には TDD がぴったり
User 用のテストを書いていく
setup メソッド
- 各テストの直前に実行される
  - よくあるテスティングフレームワークと同じ
rails test:models コマンドでモデルのテストだけが実行可能

6.2.2 存在性を検証する

もっとも基本的なバリデーションは存在性
User モデルに存在性に関するテストを追加する
validates メソッドに presence:true の引数を与えると、属性の存在を検査できる

class User < ApplicationRecord
  validates :name, presence: true
end

変数が有効かどうかを valid? メソッドでチェック可能になる
- すなわち、name 属性が空の場合は検証に失敗するということ
- erros.full_messages を使えばさらに詳細なエラーが確認できる
- errors.messages だとハッシュでエラー詳細が確認可能

6.2.3 長さを検証する

User モデルの属性に名前の長さの制限を加える

class User < ApplicationRecord
  validates :name,  presence: true, length: { maximum: 50 }
  validates :email, presence: true, length: { maximum: 255 }
end

valid? メソッドで長さも検証可能になる
検証に失敗した場合は同様に errors.messages で詳細が確認可能

6.2.4 フォーマットを検証する

メールアドレスの有効性を検証する
- パターンが多いので大変
メールアドレスのフォーマット検証用に format というオプションを使用する

validates :email, format: { with: // }

引数に正規表現を取る
- Rubular というサイトで学習可能
  - 正規表現を今まで避けてきたけどやってみると結構わかりやすい気がしてきた
User モデルに検証用定数を追加
- 大文字で始まる名前は Ruby では定数を意味する

  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX }

ただし、上記パターンでは foo@bar..com を検出できないので、以下のように変更する

class User < ApplicationRecord
  validates :name, presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-]+(\.[a-z\d\-]+)*\.[a-z]+\z/i
  validates :email, presence:   true, length: { maximum: 255 },
                    format:     { with: VALID_EMAIL_REGEX }
end

() と * がポイント
- () でグループ化して
- * は直前の文字がないか、直前の文字が1つ以上連続するかをチェック

6.2.5 一意性を検証する

メールアドレスの一意性を検証する
- validates メソッドの :unique オプションを使用

test "email addresses should be unique" do
    duplicate_user = @user.dup
    @user.save
    assert_not duplicate_user.valid?
end

@user.dup で @user と同じメールアドレスのユーザーは作成できないことをテストする
上記テストをパスさせるために、 User モデルの email のバリデーションに uniquness:true を追加する
通常メールアドレスでは大文字小文字が区別されないため、検証でもこの点を考慮する必要がある
バリデーションを uniqueness: { case_sensitive: false } に変更すると、 uniquness:true のまま大文字小文字を区別しなくなる
しかしこの時点では Active Record がデータベースレベルでは一意性を保証していないという問題が残る
- データベースレベルでも一意性を強制することで解決する
  - 具体的には email カラムにインデックスを追加し、そのインデックスが一位であるようにする
email インデックスの追加にはデータモデリングの変更が必要
- Rails ではマイグレーションでインデックスを追加する
  - migration ジェネレーターを使用
  - まさかマイグレーションファイルを用意し、 Rails のメソッドでインデックスを追加できるとは。。。
この時点では DB 用のサンプルデータが含まれている fixture 内で一意性の制限が保たれていないためテストが通らない
- fixutre とは
  - 第8章で再登場するので今回はスルー
データベースのアダプタによっては常に大文字小文字を区別するインデックスを使っているとは限らない
- DBに保存される直前にすべての文字列を小文字に変換する
- Active Record のコールバックメソッドを使用
  - 特定の時点で呼び出されるメソッド
  - 今回はオブジェクトが保存される時点で処理を実行したいので before_save を使用する

class User < ApplicationRecord
  before_save { self.email = email.downcase }
  validates :name,  presence: true, length: { maximum: 50 }
  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+\.[a-z]+\z/i
  validates :email, presence: true, length: { maximum: 255 },
                    format: { with: VALID_EMAIL_REGEX },
                    uniqueness: { case_sensitive: false }
end

左辺の self は省略できないが、右辺の self は省略可能
self.email = email.downcase は email.downcase! と書いても結果は変わらない
- downcase! は属性を直接変更できる

6.3 セキュアなパスワードを追加する

セキュアパスワード
- ユーザーにパスワードとパスワードの確認を入力させる
- パスワードをハッシュ化したものをDBに保存する
ユーザーの認証手順
- パスワードの送信
- ハッシュ化
- DB内のハッシュ化された値との比較
  - 比較結果が一致すれば送信されたパスワードが正しいと認識される

6.3.1 ハッシュ化されたパスワード

セキュアなパスワード実装は has_secure_password という Rails メソッドを呼び出すだけでほとんど終わってしまう
- 相変わらずなんて強力な。。。
User モデルに has_secure_password メソッドを追加
- セキュアにハッシュ化したパスワードをDB内の password_digest という属性に保存できるようになる
- password と password_confirmation という仮想的なペア属性が使えるようになる
  - 存在性と値が一致するかどうかのバリデーションも追加される
- authenticate メソッドが使えるようになる
「この魔術的な has_secure_password 機能を使えるようにするには一つだけ条件があります。」
- 自分で魔術って言っちゃったよ
- モデル内に password_digest という属性が含まれていることが条件
password_digest カラム用のマイグレーションを実施する
- 末尾に to_users を付けたマイグレーション名にしておくと、 users テーブルにカラムを追加するマーグレーションが Rails によって自動的に追加される
  - どこまでやってくれるんだ Rails は。。。
has_secure_password を使ってパスワードをハッシュ化するためには、ハッシュ関数の bcrypt が必要
- bcrypt gem を Gemfile に追加しておく

6.3.2 ユーザーがセキュアなパスワードを持っている

テストが通るようにしていく
- has_secure_password には仮想的な password 属性と password_confirmation 属性に対してバリデーションする機能が強制的に追加されているため、その対応が必要

6.3.3 パスワードの最小文字数

Rails でパスワードの長さを設定する方法はたくさんある
- たくさんある。。。
- 簡単でないことと最小文字数（6文字）を設定する
maximum と同様に minimum というオプションで最小文字数のバリデーションを実装できる

validates :password, length: { minimum: 6 }

has_secure_password メソッドは存在性のバリデーションもしてくれるが、新しくレコードが追加されたときだけに適用される
- 更新はバリデーションが効かない

6.3.4 ユーザーの作成と認証

User モデルの基本部分が完成
- Web からのユーザー登録はまだできないので、Rails コンソールから手動で追加する
- 追加後に password_digest 属性が参照可能
- さらに authenticate メソッドに正しいパスワードを渡すと、モデルがユーザーオブジェクトを返す

6.4 最後に

ゼロから User モデルを作成し、name, email, password の各属性を追加、さらにそれらのバリデーションも追加した
パスワードをセキュアに認証できる機能も実装
これらが12行で実現できた
- Rails 恐ろしや

所感

Rails チュートリアルもようやく折返し地点まできた。今まで避けてきた正規表現にトライし、見た目ほど難しくないということが実感できたのが大きな収穫だった。Rails は相変わらず強力な機能を発揮している。わずか12行のコードで多機能なモデルを構築できたことには驚きしかない。当初は強力すぎるがゆえにマイナスの印象が強かった Rails だが、徐々に「適切に使えばこれほど便利なものはない」という認識に変わりつつある。それがどれほど難しいかはプロダクトコードで使用してみないと分からないのだろうが。

静的型付け言語原理主義者によるRailsチュートリアル（第5章）

Sat, 04 Jan 2020 22:23:35 +0900

第5章レイアウトを作成する

サンプリアプリケーションにレイアウトを追加する
HTML も CSS も体系的に学習したことはないので勉強になりそう

5.1 構造を追加する

レイアウトに構造と CSS を与えて最小限のスタイルを追加する
Bootstrap も利用する

5.1.1 ナビゲーション

application.html.erb に HTML 構造を追加
Rails はデフォルトで HTML5
- HTML5 への対応できていない IE9 への対応が含まれている…

Posts on それはそれとして

Hugoを最新化した

名称とメインファイル名が異なる gem を gemfile に定義する方法

やること

静的型付け言語原理主義者によるRailsチュートリアル（第14章）

第14章 ユーザーをフォローする

14.1 Relationship モデル

14.1.1 データモデルの問題（および解決策）

14.1.2 User/Relationship の関連付け

14.1.3 Relationship のバリデーション

14.1.4 フォローしているユーザー

14.1.5 フォロワー

14.2 [Follow] の Web インターフェイス

14.2.1 フォローのサンプルデータ

14.2.2 統計と [Follow] フォーム

Micropost Feed

14.2.2 統計と [Follow] フォーム

Micropost Feed

Microposts (<%= @user.microposts.count %>)

14.2.3 [Following] と [Followers] ページ

<%= @title %>

14.2.4 [Follow] ボタン (基本編)

14.2.5 [Follow] ボタン (Ajax編)

14.2.6 フォローをテストする

14.3 ステータスフィード

14.3.1 動機と計画

14.3.2 フィードを初めて実装する

14.3.3 サブセレクト

14.4 最後に

所感

静的型付け言語原理主義者によるRailsチュートリアル（第13章）

第13章 ユーザーのマイクロポスト

13.1 Micropost モデル

13.1.1 基本的なモデル

13.1.2 Micropost のマイグレーション

13.1.3 User/Micropost の関連付け

13.1.4 マイクロポストを改良する

デフォルトのスコープ

Dependent: destroy

13.2 マイクロポストを表示する

13.2.1 マイクロポストの描画

Microposts (<%= @user.microposts.count %>)

13.2.2 マイクロポストのサンプル

13.2.3 プロフィール画面のマイクロポストをテストする

13.3 マイクロポストを操作する

13.3.1 マイクロポストのアクセス制御

13.3.2 マイクロポストを作成する

Welcome to the Sample App

This is the home page for the Ruby on Rails Tutorial sample application.

<%= current_user.name %>

13.3.3 フィードの原型

Micropost Feed

13.3.4 マイクロポストを削除する

13.3.5 フィード画面のマイクロポストをテストする

13.4 マイクロポストの画像投稿

13.4.1 基本的な画像アップロード

13.4.2 画像の検証

13.4.3 画像のリサイズ

13.4.4 本番環境での画像アップロード

13.5 最後に

所感

静的型付け言語原理主義者によるRailsチュートリアル（第12章）

第12章 パスワードの再設定

12.1 PasswordResets リソース

12.1.1 PssswordResets コントローラ

Log in

12.1.2 新しいパスワードの設定

Forgot password

12.1.3 create アクションでパスワード再設定

12.2 パスワード再設定のメール送信

12.2.1 パスワード再設定のメールとテンプレート

Password reset

12.2.2 送信メールのテスト

12.3 パスワードを再設定する

12.3.1 edit アクションで再設定

Reset password

12.3.2 パスワードを更新する

12.3.3 パスワードの再設定をテストする

12.4 本番環境でのメール送信（再掲）

12.5 最後に

第14章ユーザーをフォローする

第13章ユーザーのマイクロポスト

第12章パスワードの再設定

第11章アカウントの有効化

第10章ユーザーの更新・表示・削除

第9章発展的なログイン機構

第8章基本的なログイン機構