質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.83%

Rails5でストロングパラメータを有効にするとログインフォームからログインできなくなってしまいます。

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 1,711

koume

score 164

ストロングパラメータによる防御でストロングパラメータを有効にするとメンバー管理ページにログインできなくなってしまいました。
何日か参考書を読んだり、コードの見直しを行っていますが解決できなくて困っております。自分でやってみたことを記述します。

ストロングパラメータが無効の状態だと以下のことができていました。

1,管理者トップページ画面のログインフォームからのログイン
2,登録メンバーの一覧表示
3,メンバーの新規登録
4,メンバーのアカウントの編集
5,メンバーの削除
6,メンバートップページ画面のログインフォームからのログイン

上記メンバー管理画面のログイン状態のままブラウザは閉じないでストロングパラメータを有効にする。

config/application.rb

config.action_controller.permit_all_parameters = false


privateメソッド変更

app/controllers/admin/staff_members_controller.rb

class Admin::StaffMembersController < Admin::Base
  def index
    @staff_members = StaffMember.order(:family_name_kana, :given_name_kana)
  end

  def show
    staff_member = StaffMember.find(params[:id])
    redirect_to [ :edit, :admin, staff_member ]
  end

  def new
    @staff_member = StaffMember.new
  end

  def edit
    @staff_member = StaffMember.find(params[:id])
  end

  def create
    @staff_member = StaffMember.new(staff_member_params)
    if @staff_member.save
      flash.notice = '社員アカウントを新規登録しました。'
      redirect_to :admin_staff_members
    else
      render action: 'new'
    end
  end

  def update
    @staff_member = StaffMember.find(params[:id])
    @staff_member.assign_attributes(staff_member_params)
    if @staff_member.save
      flash.notice = '社員アカウントを更新しました。'
      redirect_to :admin_staff_members
    else
      render action: 'edit'
    end
  end

  def destroy
    staff_member = StaffMember.find(params[:id])
    staff_member.destroy!
    flash.notice = '社員アカウントを削除しました。'
    redirect_to :admin_staff_members
  end

  private
  def staff_member_params
    params.require(:staff_member).permit(
      :email, :password, :family_name,
      :family_name_kana, :given_name_kana,
      :start_date, :end_date, :suspended
    )
  end
end


Ctrl + C
$ rails s  で再起動する。
1,パラメータ:staff_membersが存在しない場合に例外が発生することを確かめる。(エラー発生でOK)
2,許容された属性しか値が変更されないことを確認。(確認できてOK)
3,メンバーの新規登録できました。
4,メンバーの編集できました。
5,メンバーの削除できました。

ストロングパラメータを有効にしても操作ができることを確認しブラウザを閉じました。 ここから問題が発生です。

再度、管理者トップページ画面を表示しログインボタンをクリックしログインフォームを表示させメールアドレスとパスワードを入力し
ログインボタンをクリックするとエラーが発生しログインできなくなってしまいました。

エラーの内容

ActiveModel::ForbiddenAttributesError in Staff::SessionsController#create
ActiveModel::ForbiddenAttributesError

Extracted source (around line #12):
10
11   def create
12    @form = Staff::LoginForm.new(params[:staff_login_form])  #この行で発生しているみたい。
13    if @form.email.present?
14     staff_member = StaffMember.find_by(email_for_index: @form.email.downcase)
15    end



Rails.root: /home/vagrant/chibi/chibi

Application Trace | Framework Trace | Full Trace
app/controllers/staff/sessions_controller.rb:12:in `new'
app/controllers/staff/sessions_controller.rb:12:in `create'
Request

Parameters:

{"utf8"=>"✓",
 "authenticity_token"=>"+YGkIb3wkI9t55Z35R2izD5BUdOHuD7kQavSZMuqvyZ5jeYEZen4N5lkECVlLswJ9/P2OAuyFfA8ZtTbYyfFdA==",
 "staff_login_form"=>{"email"=>"suzuki.umeko@example.com", "password"=>"[FILTERED]"},
 "commit"=>"ログイン",
 "host"=>"chibi.example.com"}

エラー発生コード

app/controllers/staff/sessions_controller.rb

class Staff::SessionsController < Staff::Base
  def new
    if current_staff_member
      redirect_to :staff_root
    else
      @form = Staff::LoginForm.new
      render action: 'new'
    end
  end

  def create
    @form = Staff::LoginForm.new(params[:staff_login_form])   #エラー発生場所らしい。
    if @form.email.present?
      staff_member = StaffMember.find_by(email_for_index: @form.email.downcase)
    end
    if Staff::Authenticator.new(staff_member).authenticate(@form.password)
      if staff_member.suspended?
        flash.now.alert = 'アカウントが停止されています。'
        render action: 'new'
      else
        session[:staff_member_id] = staff_member.id
        flash.notice = 'ログインしました。'
        redirect_to :staff_root
      end
    else
      flash.now.alert = 'メールアドレスまたはパスワードが正しくありません。'
      render action: 'new'
    end
  end

  def destroy
    session.delete(:staff_member_id)
    flash.notice = 'ログアウトしました。'
    redirect_to :staff_root
  end
end


どなたか教えてください。ログインに関するコードは上記コードですが、このコントローラにも

private
  def staff_member_params
    params.require(:staff_member).permit(
      :email, :password, :family_name,
      :family_name_kana, :given_name_kana,
      :start_date, :end_date, :suspended
    )
  end


のように記述しコードの記述を変更する必要があるのでしょうか?
また、モデルの操作に関するコントローラには全てストロングパラメータの設定が必要なのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

check解決した方法

0

ログインに関するコントローラーにもprvateメソッドでストロングパラメータ設置のコードが必要です。
と教えていただきコードを記述したらログインできるようになりました。モデルを操作するコントローラには
全て記述する必要があることを知り少し賢くなったような感じがします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.83%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • トップ
  • Rubyに関する質問
  • Rails5でストロングパラメータを有効にするとログインフォームからログインできなくなってしまいます。