【rails】has_secure_passwordで文字数制限等のバリデーションを上手く適用できない【ruby】

railsで簡単なwebアプリケーションを作っており、それにログイン機能を付けようとしております。

ログイン機能自体はほぼできたのですが、
パスワードに6～8文字半角英数字のバリデーションを付けようと思い、
userモデル(user.rb)のhas_has_secure_password validations: trueの項目のあとに

validates :password, format: { with: /\A[a-z0-9]+\z/i }, length: { in: 6..8}

を追加したのですが、ログインの時に

ActiveRecord::RecordInvalid in SessionsController#create
バリデーションに失敗しました: パスワードは不正な値です, パスワードは6文字以上で入力してください

というエラーが出てしまい、バリデーションがもろとも引っかかっているような挙動をします。
（バリデーション的には何も入力されていないものとして扱われているのかなあと思っております）
session_params辺り？とは思うのですが、何をどうしたら改善するのか全くわからず
今回質問に至りました。

以下にuser.rb、users_controller.rb、sessions_controller.rbのコードを記載します。

#user.rb
class User < ApplicationRecord
  has_secure_password validations: true
    validates :password, format: { with: /\A[a-z0-9]+\z/i }, length: {in:6..8}

  VALID_EMAIL_REGEX = /\A[\w+\-.]+@[a-z\d\-.]+.[a-z]+\z/i
  validates :mail, presence: true, uniqueness: true, format: { with: VALID_EMAIL_REGEX }


  def self.new_remember_token
      SecureRandom.urlsafe_base64
    end

    def self.encrypt(token)
      Digest::SHA256.hexdigest(token.to_s)
    end

end

#users_controller.rb
class UsersController < ApplicationController
skip_before_action :require_sign_in!, only: [:new, :create]

  def new
      @user = User.new
    end

    def create
      @user = User.new(user_params)
      if @user.save
        redirect_to login_path, notice: '登録に成功しました'
      else
        flash.now[:danger] = 'ユーザーの登録に失敗しました。'
        render 'new'
      end
    end

    private

      def user_params
        params.require(:user).permit(:mail, :password, :password_confirmation)
      end
end

#sessions_controller.rb
class SessionsController < ApplicationController
  before_action :set_user, only: [:create]

    def new
    end

    def create
      if @user.authenticate(session_params[:password])
        sign_in(@user)
        redirect_to root_path, notice: 'ログインしました'
      else
        flash.now[:danger] = 'IDまたはパスワードが間違っています'
        render 'new'
      end
    end

    skip_before_action :require_sign_in!, only: [:new, :create]
    before_action :set_user, only: [:create]

    def destroy
      sign_out
      redirect_to login_path
    end

    private

      def set_user
        @user = User.find_by!(mail: session_params[:mail])
      rescue
        flash.now[:danger] = '未登録、または未入力事項があります'
        render action: 'new'
      end

      # 許可するパラメータ
      def session_params
        params.require(:session).permit(:mail, :password)
      end
end

以上です。
宜しくお願い致します。

行動規範の内容に同意します

回答1件

本題ではないのですが、「8文字以下」とか「記号は不可」とか、強固なパスワードを付けるのを妨げる方向にバリデーションをかけるのはどのような理由からでしょうか。

自分自身気になって、過去にここで質問したことがあります。

投稿2018/10/16 22:11

maisumakun

総合スコア145184

shi6na

2018/11/06 08:31 編集

コメントありがとうございます。人から頼まれた要件だったのでそこまで気にしませんでしたが、確かにそうですね。過去スレ拝見しましたが、今まで考えた事が無かった分興味深い回答があって面白かったです。今回に関しては、やはりユーザ側のパスワード管理の煩雑さを緩和するためというのと、ネットを使い慣れてない層にも気軽に登録してほしいという点、そしてそもそも、作っているシステムが、セキュリティを強固にする必要がない、という理由があるかと思います。 (追記)調べていて分かったのですが、SQLインジェクション対策の意もあるのかもしれません。

行動規範の内容に同意します