こんにちは!kossyです!
最近はオリジナルアプリの実装に熱を入れ過ぎてブログの更新が疎かになっておりました、、、
アウトプットが大事だと頭でわかってはいるものの、
実行に移すのは大変ですね、、、
さて、今回はRailsアプリに2段階認証を導入する手順について、
ブログに残してみたいと思います。
環境
Rails 5.2.2
Ruby 2.5.1
devise 4.6.1
devise_two_factor 3.0.3
rqrcode 0.10.1
dotenv-rails 2.6.0
google_authenticator
macOs Mojave
[注意]
この解説記事内でgoogleの2段階認証アプリを使うので、実際に導入してみたい方は
お手持ちのスマートフォンにGoogle Authenticatorを入れて下さい。
iOS: 「Google Authenticator」をApp Storeで
Android: Google 認証システムのインストール - Android - Google アカウント ヘルプ
Gemの導入
まずはGemの導入からです。
./Gemfile # groupのブロック外ならどこに記述してもOKです gem 'devise' gem 'devise-two-factor' gem 'rqrcode' gem 'dotenv-rails' # ターミナル $ bundle install
それぞれ端的に解説すると、
deviseは言わずと知れた、認証の仕組みを数コマンドで提供してくれるGemです。
devise_two_factorを使うと、簡単に2段階認証の仕組みをRailsアプリに導入することができます。
rqrcodeは、QRコードの生成を行うgemです。
dotenv-railsは環境変数の管理をしてくれるGemです。
deviseの導入
deviseの導入は細かい説明は省きます。
詳しく知りたい方は公式ドキュメントや、
[*Rails*] deviseの使い方(rails5版) - Qiita
こちらを参考にしてみてください。
$ rails g devise:install $ rails g devise:views $ rails g devise User $ rails g devise:controllers users $ rails db:migrate
上記のコマンドを順に実行してください。
次に、ルーティングを追加します。
config/routes.rb Rails.application.routes.draw do devise_for :users, controllers: { registrations: 'users/registrations', sessions: 'users/sessions' } end
これでdeviseの導入は終了です。
次にdevise_two_factorの設定を行います。
devise-two-factorを導入
ターミナルで以下のコマンドを実行します。
$ rails g devise_two_factor User TWO_FACTOR_ENCRYPTION_KEY $ rails db:migrate
このコマンドを実行することで、以下の処理が実行されます。
・app/models/user.rbにdevise_two_factorの設定を追加
・:database_authenticatableを削除しようとする。 ※削除されない場合は手動で削除してください。
・config/initializers/devise.rbにwardenの設定を追加
・db/migrate下に二段階認証関連のカラムを追加するためのマイグレーションファイルを生成
追加されるカラムは以下の5種類です。
- encrypted_otp_secret(string)
- encrypted_otp_secret_iv(string)
- encrypted_otp_secret_salt(string)
- consumed_timestep(integer)
- otp_required_for_login(boolean)
ワンタイムパスワードのパラメータを入れるカラムと、
ユーザーが2段階認証を有効にしているかどうかを判断するためのカラムを追加しています。
次に、環境変数の設定を追加します。
.envファイルの設定
アプリケーションフォルダ直下に.envファイルを作成し、
環境変数を設定します。
./ .env # 例です TWO_FACTOR_ENCRYPTION_KEY=hogehogehogehogehogehogehogehogehogehogehoge
このファイルは.gitignoreに追加して、gitの管理から外れるようにしましょう。
.gitignore .env
次に、application_controller.rbにStrongParametersでotp_attempt(認証コード)を許可するように設定を加えます。
StrongParameterの設定
StrongParameterについては以下の記事が詳しかったです。
Rails初学者がつまずきやすい「ストロングパラメータの仕組み」
app/controllers/application_controller.rb class ApplicationController < ActionController::Base protect_from_forgery with: :exception before_action :configure_permitted_parameters, if: :devise_controller? protected def configure_permitted_parameters devise_parameter_sanitizer.permit(:sign_in, keys: [:otp_attempt]) end end
次項から、2段階認証の仕組みを実装していきます。
2段階認証を実装
Deviseを使っているRailsアプリに2段階認証を導入する - Qiita
こちらの記事のコードを参考に実装させていただきました。
app/controllers/users/sessions_controller.rbを編集し、通常のdeviseの認証の前に処理を挟むようにします。
class Users::SessionsController < Devise::SessionsController prepend_before_action :authenticate_with_two_factor, only: [:create] private def authenticate_with_two_factor # strong parameters user_params = params.require(:user).permit(:email, :password, :remember_me, :otp_attempt) if user_params[:email] user = User.find_by(email: user_params[:email]) elsif user_params[:otp_attempt].present? && session[:otp_user_id] user = User.find(session[:otp_user_id]) end self.resource = user return unless user && user.otp_required_for_login if user_params[:email] if user.valid_password?(user_params[:password]) session[:otp_user_id] = user.id render 'devise/sessions/two_factor' and return end elsif user_params[:otp_attempt].present? && session[:otp_user_id] if user.validate_and_consume_otp!(user_params[:otp_attempt]) session.delete(:otp_user_id) sign_in(user) and return else flash.now[:alert] = 'Invalid two-factor code.' render :two_factor and return end end end end
次に、認証コードの入力画面を作成します。
app/views/devise/sessions/two_factor.html.erb <h2>Log in</h2> <%= form_for(resource, as: resource_name, url: session_path(resource_name), method: :post) do |f| %> <div class="field"> <%= f.label :otp_attempt %><br /> <%= f.text_field :otp_attempt %> </div> <div class="actions"> <%= f.submit "Verify" %> </div> <% end %>
ルーティングは下記のように実装します。
resource :two_factor_auth, only: [:new, :create, :destroy]
次に、2段階認証周りの機能を提供するtwo_factor_auths_controller.rbを作成します。
app/controllers/two_factor_auths_controller.rb class TwoFactorAuthsController < ApplicationController # 2段階認証有効化確認 def new unless current_user.otp_secret current_user.otp_secret = User.generate_otp_secret(32) current_user.save! end @qr_code = build_qr_code end # 2段階認証有効化 def create if current_user.validate_and_consume_otp!(params[:otp_attempt]) current_user.otp_required_for_login = true current_user.save! redirect_to root_path else @error = 'Invalid pin code' @qr_code = build_qr_code render 'new' end end # 2段階認証無効化 def destroy current_user.update_attributes( otp_required_for_login: false, encrypted_otp_secret: nil, encrypted_otp_secret_iv: nil, encrypted_otp_secret_salt: nil, ) redirect_to root_path end private def build_qr_code label = "service_name" # issuerでGoogle Authenticator上の登録サービス名として表示 issuer ="company_name" uri = current_user.otp_provisioning_uri(label, issuer: issuer) qrcode = RQRCode::QRCode.new(uri) qrcode.as_svg( offset: 0, color: '000', shape_rendering: 'crispEdges', module_size: 2 ) end end
QRコード表示画面を作成
app/views/two_factor_auths/new.html.erb <h1>Enable 2FA</h1> <% if @error %> <div><%= @error %></div> <% end %> <div><%= raw @qr_code %></div> <%= form_tag two_factor_auth_path do %> <div class="field"> <%= label_tag :otp_attempt %><br /> <%= text_field_tag :otp_attempt %> </div> <%= submit_tag :submit %> <% end %>
認証機能の有効化・無効化画面の例
app/views/home/index.html.erb(ユーザープロフィール画面があればそこに表示するのがベスト?) <div> <% if user_signed_in? %> <% if current_user.otp_required_for_login %> <%= button_to "Disable 2FA", two_factor_auth_path, method: :delete %> <% else %> <%= button_to "Enable 2FA", new_two_factor_auth_path, method: :get %> <% end %> <% end %> </div>
これで一通りの実装は完了です。
それでは、ローカルで試してみます。(本ブログでは解説していないcontrollerとrootの設定をしています。)
localhost:3000/users/sign_upにアクセスし、必要情報を入力して、submitを押下します。
ユーザー登録に成功すると、enable 2FAのボタンが表示されるので、クリックします。
すると、QRコードが表示されるので、google認証のアプリでQRコードを読み取り、6桁の認証コードを入力します。
正しく認証をパスすると、Enable 2FAだったボタンが、Disable 2FAの表示に変わっていると思います。
これで2段階認証の導入は終了です。
思った通り動作するのはやっぱり嬉しいですね。
参考にさせていただいた記事
Deviseを使っているRailsアプリに2段階認証を導入する - Qiita
deviseとGoogle Authenticatorを用いてRailsシステムに「二段階認証」を導入した話 - LiBz Tech Blog
Railsの二段階認証Gem Devise-Two-FactorのDemoを触ってみた - Qiita
GitHub - tinfoil/devise-two-factor: Barebones two-factor authentication with Devise
