Q&Aストロングパラメータによる防御でストロングパラメータを有効にするとメンバー管理ページにログインできなくなってしまいました。
何日か参考書を読んだり、コードの見直しを行っていますが解決できなくて困っております。自分でやってみたことを記述します。
ストロングパラメータが無効の状態だと以下のことができていました。
1,管理者トップページ画面のログインフォームからのログイン
2,登録メンバーの一覧表示
3,メンバーの新規登録
4,メンバーのアカウントの編集
5,メンバーの削除
6,メンバートップページ画面のログインフォームからのログイン
上記メンバー管理画面のログイン状態のままブラウザは閉じないでストロングパラメータを有効にする。
config/application.rb config.action_controller.permit_all_parameters = false
privateメソッド変更
app/controllers/admin/staff_members_controller.rb class Admin::StaffMembersController < Admin::Base def index @staff_members = StaffMember.order(:family_name_kana, :given_name_kana) end def show staff_member = StaffMember.find(params[:id]) redirect_to [ :edit, :admin, staff_member ] end def new @staff_member = StaffMember.new end def edit @staff_member = StaffMember.find(params[:id]) end def create @staff_member = StaffMember.new(staff_member_params) if @staff_member.save flash.notice = '社員アカウントを新規登録しました。' redirect_to :admin_staff_members else render action: 'new' end end def update @staff_member = StaffMember.find(params[:id]) @staff_member.assign_attributes(staff_member_params) if @staff_member.save flash.notice = '社員アカウントを更新しました。' redirect_to :admin_staff_members else render action: 'edit' end end def destroy staff_member = StaffMember.find(params[:id]) staff_member.destroy! flash.notice = '社員アカウントを削除しました。' redirect_to :admin_staff_members end private def staff_member_params params.require(:staff_member).permit( :email, :password, :family_name, :family_name_kana, :given_name_kana, :start_date, :end_date, :suspended ) end end
Ctrl + C
$ rails s で再起動する。
1,パラメータ:staff_membersが存在しない場合に例外が発生することを確かめる。(エラー発生でOK)
2,許容された属性しか値が変更されないことを確認。(確認できてOK)
3,メンバーの新規登録できました。
4,メンバーの編集できました。
5,メンバーの削除できました。
ストロングパラメータを有効にしても操作ができることを確認しブラウザを閉じました。 ここから問題が発生です。
再度、管理者トップページ画面を表示しログインボタンをクリックしログインフォームを表示させメールアドレスとパスワードを入力し
ログインボタンをクリックするとエラーが発生しログインできなくなってしまいました。
エラーの内容
ActiveModel::ForbiddenAttributesError in Staff::SessionsController#create ActiveModel::ForbiddenAttributesError Extracted source (around line #12): 10 11 def create 12 @form = Staff::LoginForm.new(params[:staff_login_form]) #この行で発生しているみたい。 13 if @form.email.present? 14 staff_member = StaffMember.find_by(email_for_index: @form.email.downcase) 15 end Rails.root: /home/vagrant/chibi/chibi Application Trace | Framework Trace | Full Trace app/controllers/staff/sessions_controller.rb:12:in `new' app/controllers/staff/sessions_controller.rb:12:in `create' Request Parameters: {"utf8"=>"✓", "authenticity_token"=>"+YGkIb3wkI9t55Z35R2izD5BUdOHuD7kQavSZMuqvyZ5jeYEZen4N5lkECVlLswJ9/P2OAuyFfA8ZtTbYyfFdA==", "staff_login_form"=>{"email"=>"suzuki.umeko@example.com", "password"=>"[FILTERED]"}, "commit"=>"ログイン", "host"=>"chibi.example.com"}
エラー発生コード
app/controllers/staff/sessions_controller.rb class Staff::SessionsController < Staff::Base def new if current_staff_member redirect_to :staff_root else @form = Staff::LoginForm.new render action: 'new' end end def create @form = Staff::LoginForm.new(params[:staff_login_form]) #エラー発生場所らしい。 if @form.email.present? staff_member = StaffMember.find_by(email_for_index: @form.email.downcase) end if Staff::Authenticator.new(staff_member).authenticate(@form.password) if staff_member.suspended? flash.now.alert = 'アカウントが停止されています。' render action: 'new' else session[:staff_member_id] = staff_member.id flash.notice = 'ログインしました。' redirect_to :staff_root end else flash.now.alert = 'メールアドレスまたはパスワードが正しくありません。' render action: 'new' end end def destroy session.delete(:staff_member_id) flash.notice = 'ログアウトしました。' redirect_to :staff_root end end
どなたか教えてください。ログインに関するコードは上記コードですが、このコントローラにも
private def staff_member_params params.require(:staff_member).permit( :email, :password, :family_name, :family_name_kana, :given_name_kana, :start_date, :end_date, :suspended ) end
のように記述しコードの記述を変更する必要があるのでしょうか?
また、モデルの操作に関するコントローラには全てストロングパラメータの設定が必要なのでしょうか?
回答1件
0
自己解決
ログインに関するコントローラーにもprvateメソッドでストロングパラメータ設置のコードが必要です。
と教えていただきコードを記述したらログインできるようになりました。モデルを操作するコントローラには
全て記述する必要があることを知り少し賢くなったような感じがします。
投稿2017/08/14 15:04
総合スコア458
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。