認証自作、 Rails 、 Devise
BRANK

認証自作、 Rails 、 Devise Ruby On Rails 界隈では「認証は自作すべきではない、デファクトスタンダードの Devise を使うべき」という考え方が一般にあるように思います。ではその Devise なんですけど、ドキュメントに以下のようにあります。If you are building your first Rails application, we recommend you do not use Devise. Devise requires a good understanding of the Rails Framework. In such cases, we advise you to start a simple authentication system from scratch. Here's a few resources that should help you get started: について深い理解がないならば、 Devise は使うな」とあります。この方針は10 年近く前から書かれています。これは実際大変重要な指針で、例えば Devise はログイン時にログインした IP アドレスを User モデルに保存しますが、この User モデルを何も考えずに to_json して公開 API として提供してしまえば、ログインユーザーの IP アドレスが漏洩してしまいます。これがどういう問題かは今まさにホットな出来事です。はっきりといえば Devise は「やりすぎ」「おせっかい」なライブラリであり、実際に Rails のフレー…

diary.app.ssig33.com
Related Topics: Security Ruby on Rails
1 comments
  • デファクトスタンダードでも鵜呑みにしたらダメなんだな