Logowanie w aplikacji webowej

[info] Jeśli pracujesz na laboratorium, aby rozpocząć realizację kolejnego modułu, musisz wykonać poniższe operacje

• sklonuj repozytorium ze swoim kodem (git clone ŚCIEŻKA_DO_REPOZYTORIUM),

• zainstaluj potrzebne gemy (bundle install --path vendor/bundle),

• dokonaj migracji bazy danych (rails db:migrate)

• uruchom serwer (rails server)

Użytkownicy w naszym serwisie są już zapezpieczeni hasłem, ale nadal nie posiada on w swojej funkcjonalności logowania. Postarajmy się to nadrobić.

Zanim rozpoczniemy pracę nad logowaniem, dodajmy indeks bazy danych do numeru indeksu w modelu studenta.

• rails generate migration AddIndexToStudentsIndex

class AddIndexToStudentsIndex < ActiveRecord::Migration[5.1]
  def change
    add_index :students, :index, unique: true
  end
end

Kontroler sesji

Podczas realizacji modułu o routingu, tworzyliśmy prosty kontroler statyczny, obsługujący jedną metodę. W wypadku logowania i kontroli sesji potrzebujemy trzech metod w nowym kontrolerze:

• new — wyświetlającą panel logowania,

• create — tworzącą nową sesję użytkownika,

• destroy — usuwającą sesję użytkownika.

Na początek generujemy kontroler sesji:

• rails generate controller sessions new

Następnie uzupełniamy routes o ścieżki do tworzenia i zamykania sesji i wskazujemy w nich odpowiednie akcje kontrolera. Upewnijmy się, że plik routes.rb wygląda jak poniżej.

Rails.application.routes.draw do
  root to: 'static#index'

  get    '/login',   to: 'sessions#new'
  post   '/login',   to: 'sessions#create'
  delete '/logout',  to: 'sessions#destroy'

  resources :posts
  resources :topics
  resources :courses
  resources :students
end

Wygenerowanie kontrolera sesji z atrybutem new doda od razu do kontrolera metodę new i pusty widok, który zgodnie z zadeklarowanym routingiem możemy odwiedzić pod adresem http://localhost:3000/login. Uzupełnijmy ten widok o formularz logowania (app/views/sessions/new.html.erb).

<h1>Logowanie</h1>

<%= form_for(:session, url: login_path) do |f| %>
  <%= f.label :index %>
  <%= f.text_field :index, class: 'form-control' %>

  <%= f.label :password %>
  <%= f.password_field :password, class: 'form-control' %>

  <%= f.submit "Zaloguj" %>
<% end %>

Jeśli spróbujemy wysłać formularz, klikając w przycisk Zaloguj, uzyskamy błąd o braku akcji create. Dodajemy ją do kontrolera, z poziomu kodu renderując ten sam formularz, co przy logowaniu.

def create
  render 'new'
end

Wysłanie formularza już nie kończy się błędem, ale jeszcze nie pozwala na logowanie. Musimy je zaimplementować.

def create
    student = Student.find_by(index: params[:session][:index])
    if student && student.authenticate(params[:session][:password])
          # Wszystko dobrze, logujemy
    else
          # Niedobrze
          render 'new'
    end
end

Najpierw lokalizujemy studenta po podanym numerze indeksu uzyskanym z formularza (Student.find_by(index: params[:session][:index])). Później, jeśli istnieje i autentykuje się do podanego hasła (student.authenticate()), logujemy go, w innym wypadku, wyświetlamy raz jeszcze formularz logowania (render 'new').

Działa? Tak. Tylko nie loguje, bo jeszcze tego nie przygotowaliśmy. Ale zrobimy to mądrze. Tak, żeby informacja o zalogowaniu nie była zamknięta tylko w jednym kontrolerze, ale dostępna z całej aplikacji. Tu pomogą helpery.

Helpery to osobne klasy zawierające tak zwane funkcje pomocnicze, które realizują logikę niepasującą ani do kontrolera ani do modelu. Scaffolding domyślnie tworzy pusty helper dla każdego kontrolera.

Otwieramy naczelny kontroler, ApplicationController. Inkludujemy w nim pomocnik (helper) kontrolera sesji.

class ApplicationController < ActionController::Base
  protect_from_forgery with: :exception
  include SessionsHelper
end

Otwieramy SessionsHelper (app/helpers/sessions_helper.rb) i tworzymy w nim metodę log_in.

def log_in(student)
  session[:student_id] = student.id
end

Na koniec uzupełniamy metodę create w kontrolerze, korzystając po poprawnej autentykacji ze stworonej w helperze metody log_in().

def create
  student = Student.find_by(index: params[:session][:index])
  if student && student.authenticate(params[:session][:password])
    # Wszystko dobrze, logujemy
    log_in student
    redirect_to student
  else
    # Niedobrze
    render 'new'
  end
end

Próbujemy się zalogować, używając poprawnych danych. Sukces! Poprawne logowanie przenosi nas na stronę zalogowanego użytkownika. Wypadałoby jednak jakoś pamiętać tego studenta. Dodajmy więc do helpera metodę wskazującą zalogowanego studenta.

def current_student
  Student.find_by(id: session[:student_id])
end

To jednak wysyłałoby zapytanie do bazy przy każdym pytaniu o studenta. Słabo. Zróbmy więc sprytne obejście.

def current_student
  @current_student ||= Student.find_by(id: session[:student_id])
end

Przy operatorze ||=, pole ustawi się tylko raz. Dodajmy też (do helpera) metodę sprawdzającą, czy ktoś jest zalogowany.

def logged_in?
    !current_student.nil?
end

Edycja głównej formatki

Wśród widoków, w pliku app/views/layouts/application.html.erb znajduje się naczelna formatka naszej aplikacji. Wysyłając do przeglądarki użytkownika jakikolwiek widok, w zasadzie wstawiamy go do niej, w miejsce pola yield.

<!DOCTYPE html>
<html>
  <head>
    <title>StudentForum</title>
    <%= csrf_meta_tags %>

    <%= stylesheet_link_tag    'application', media: 'all', 'data-turbolinks-track': 'reload' %>
    <%= javascript_include_tag 'application', 'data-turbolinks-track': 'reload' %>
  </head>

  <body>
    <%= yield %>
  </body>
</html>

Możemy uzupełnić naszą główną formatkę o elementy widoku obecne na każdej podstronie. Na początek dodajmy do niej brzydki nagłówek, informujący o tym, czy jakiś użytkownik jest aktualnie zalogowany.

<% if logged_in? %>
  Zalogowany
<% else %>
  Wylogowany
<% end %>

Jeśli w poprzednim kroku udało nam się poprawnie zaimplementować logowanie, na ekranie powinna pojawić się odpowiednia informacja.

Po usunięciu ciasteczek informacja powinna zmienić się na Wylogowany. Wydaje się jednak, że usuwanie ciasteczek to raczej mało wygodna forma wylogowywania się z jakiegoś serwisu. Rozbudujmy więc odrobinę nagłówek, aby pojawiło się w nim łącze do logowania/wylogowywania.

<% if logged_in? %>
  Zalogowany jako <%= current_student.name %>
  <%= link_to "Profil", current_student %>
  <%= link_to "Wyloguj", logout_path, method: :delete %>
<% else %>
  <%= link_to "Zaloguj", login_path %>
<% end %>

Możemy się teraz spokojnie ponownie zalogować. Pozostało wylogowywanie. Zaczniemy od metody helpera, która usunie informację o sesji i aktualnie zalogowanym studencie.

def log_out
  session.delete(:student_id)
  @current_student = nil
end

Później wykorzystajmy ją w metodzie destroy kontrolera.

def destroy
  log_out
  redirect_to root_url
end

Przetestujmy logowanie. Gratulacje! Dostęp do naszej aplikacji został jakkolwiek zabezpieczony hasłem.

[info] Aktualny kod

Na koniec każdego modułu znajduje się łącze do pełnej wersji kodu, który powinien być jego wynikiem.

• Wprowadzone zmiany

• Pełen kod