「omniauth を使って GitHub 認証を実装する」答案提出 #7
Conversation
| # frozen_string_literal: true | ||
|
|
||
| class Users::RegistrationsController < Devise::RegistrationsController | ||
| # before_action :configure_sign_up_params, only: [:create] |
Gemfile
Outdated
| @@ -62,3 +62,5 @@ gem 'carrierwave' | |||
| gem 'devise' | |||
| gem 'devise-i18n' | |||
| gem 'kaminari' | |||
| gem 'omniauth-github', github: 'omniauth/omniauth-github', branch: 'master' | |||
There was a problem hiding this comment.
こちら `gem 'omniauth-github' だけで良いと思うのですが、何故ブランチ指定してるのでしょうか?
There was a problem hiding this comment.
おっしゃる通りブランチ指定はいらないですね。削除しました。
| @@ -62,3 +62,5 @@ gem 'carrierwave' | |||
| gem 'devise' | |||
| gem 'devise-i18n' | |||
| gem 'kaminari' | |||
| gem 'omniauth-github', github: 'omniauth/omniauth-github', branch: 'master' | |||
| gem 'omniauth-rails_csrf_protection' | |||
There was a problem hiding this comment.
こちらはあっても問題無いですが、必要でも無いと思うのですが、何故追加したのでしょうか?
There was a problem hiding this comment.
DeviseのWikiに以下のように記載があったため、追加してあります。
OmniAuth 2.0+: make sure you also add the OmniAuth Rails CSRF Protection gem to your
Gemfile
機能上は不要だと思いますが、セキュリティ上、CSRF攻撃を防ぐために必要なものだと思っていました。GitHub認証では不要なのでしょうか?
There was a problem hiding this comment.
なるほど。 Deviseのwikiに書いてあったなら根拠としては十分ですね。
同じ問題について omniauth/omniauth#960
omniauth側でも対応してるようなのですが、まったく同じ内容なのか分かりません。時期からして omniauthの問題なら対応していそうなものですが 🤔
ちょっと他のメンターにも聞いてみます。
プラクティスとしては十分な根拠があって追加しているので問題無いです 🙆♀️
There was a problem hiding this comment.
https://github.com/omniauth/omniauth/wiki/Resolving-CVE-2015-9284
こちらに omniauth 側の説明もありましたね。問題無さそうです 👍
There was a problem hiding this comment.
ご確認ありがとうございます 😄 勉強になりました 🧑🎓
| @@ -271,7 +271,7 @@ | |||
| # ==> OmniAuth | |||
| # Add a new OmniAuth provider. Check the wiki for more information on setting | |||
| # up on your models and hooks. | |||
| # config.omniauth :github, 'APP_ID', 'APP_SECRET', scope: 'user,public_repo' | |||
| config.omniauth :github, ENV['GITHUB_KEY'], ENV['GITHUB_SECRET'], scope: 'read:user' | |||
There was a problem hiding this comment.
必須では無いですが、環境変数が必要になるので READMEなどに設定方法を書いておくと良いですね。
There was a problem hiding this comment.
コメントありがとうございます。READMEに追記しました。
お世話になっております。
「omniauth を使って GitHub 認証を実装する」の答案を提出いたします。
ご確認をよろしくお願いいたします。