二要素認証を作成したい

[zakino123]

以下のようなメールアドレスを使ったワンタイムパスワードを実装したい ・ログインしたい時などにユーザ作成したメールアドレスにトークンを送る ・ユーザがメールで受け取ったトークンをUKABUの画面に入力して、認証完了

[zakino123]

どのような方法で実装できそうか

結論

gem devise-two-factorはTOTP認証用のgemであり、今回の実装には適していない。（gem rotpも同じ） 再度メールアドレスとパスワードを使ってログイン時に以下の処理を助けてくれるgemなどを探す

・ワンタイムパスワードを作成
・ログイン時のメールアドレスにワンタイムパスワードをメールで送信
・ワンタイムパスワードを入力できる画面に遷移
・ワンタイムパスワードを入力できる画面でメールで受け取ったワンタイムパスワードを入力すると、認可する

実装方法案

• gem devise-two-factorでの実装 deviseに二要素認証を追加するための拡張機能であるgem OTPを簡単に作成することができる 4ヶ月前ぐらいにまでgemのアップデートがある Github：https://github.com/devise-two-factor/devise-two-factor

• gem rotpでの実装 OTPを簡単に作成することができる 4ヶ月前ぐらいにまでgemのアップデートがある Github：https://github.com/mdp/rotp

• gemを利用しないでdeviseの機能で実装できるかどうか

[zakino123]

どのような方法で実装できそうか②

• gem otp-jwtでの実装 メールアドレスを使ったワンタイムパスワードを実装するのに適したGem 3ヶ月前までgemのアップロードあり メールを送信から二要素認証認可まで担ってくれそう deviseの拡張機能ではないため、ログイン時に二要素認証画面に遷移する際にどのような実装をするか考える必要がありそう

https://github.com/stas/otp-jwt

• gem active_model_otpでの実装 OTPの生成などを手助けする 2ヶ月前までgemのアップロードあり

https://github.com/heapsource/active_model_otp

• gem two_factor_authenticationでの実装

https://github.com/Houdini/two_factor_authentication

• gemを利用しないでdeviseの機能で実装できるかどうか

実装できるが、セキュリティを考えると自前で実装は怖い もし、自前で実装する場合は以下のサイトも参考にしても良さそう https://sandeshbodake.medium.com/otp-based-authentication-with-devise-4265ced1b4ef

以下は使えなさそう

• rodauth OTP生成などしてくれるが、メールアドレスを使ったOTPに適したメソッドは少なそう ログイン機能などもあるなど機能がデカすぎる https://github.com/jeremyevans/rodauth

[zakino123]

結論どのgemが良さそうか

結論

今回試したgemの中では、gem otp-jwtが最も良いと考える。 理由としては、今回実装する二要素認証処理のカバーできる範囲が今回試したgemの中で最も広く、認証の際にOTPを1回でも誤入力すると、発行したOTPは利用できなくなり、セキュリティの安全性が高いため。

各gemのメリット・デメリット

gem devise-two-factor

• メリット OTP生成、OTP認可をこのgemで対応できる

• デメリット このgemを導入することで、ログインできないバグが生じてしまう devise-two-factorは、TOTPでの認証を想定して作成されているgemであるため、その分gemのリソースを使いこなせていない

gem otp-jwt

• メリット OTP生成、メール送信、OTP認可をこのgemで対応できるため、他のgemと比較して最も幅広く対応 OTP入力認証画面で1回入力をミスすると、発行したOTPは利用できなくなるため、セキュリティの安全性が高い

• デメリット JWTトークン認証の機能は活用しないため、その分gemのリソースを使いこなせていない 1回OTPの入力をミスすると、そのOTPは使えなくなってしまうため、ユーザにとっては使いづらいと思う人もいるかもしれない

gem active_model_otp

• メリット OTP生成、OTP認可をこのgemで対応できる 時間ベースのOTP生成の場合、Userモデルへのカラムの追加が最小限にできる 時間ベースのOTP生成の場合、生成したOTPは30秒で使えなくなるため、セキュリティの安全性が高い

• デメリット 時間ベースでのOTPを生成した場合に、そのOTPは30秒までしか使えず、メールアドレスを使ったOTP認証では使いづらそう 　しかし、その時はOTPを作成した際のカウントを元にOTP生成できる機能があるため、問題はなさそう TOTPでの認証機能を想定されて作成されたgemであるため、その分gemのリソースを使いこなせていない

gem two_factor_authentication

このgemを導入後に、ログインしようとすると、update_attributesメソッドが見つからないというエラーになる。 Rails6.1から削除されたupdate_attributesメソッドが使われており、このgemでの実装は困難だと考えるため、 このgemは比較検討の対象外とする。