Tạm biệt Devise, Chào mừng Rails 8 Auth: Cùng Xây Dựng Hệ Thống Xác Thực Thần Tốc Với React và Rails API!
Lê Lân1
Rails 8 Authentication với React API: Hướng Dẫn Triển Khai Chi Tiết
Mở Đầu
Sau nhiều năm sử dụng Devise, Rails 8 đã giới thiệu thư viện xác thực hoàn toàn mới với nhiều cải tiến về bảo mật và quản lý session. Đặc biệt khi phát triển ứng dụng React + Rails API, việc tích hợp xác thực trở nên thử thách hơn.
Trong bài viết này, chúng ta sẽ cùng tìm hiểu cách Rails 8 xây dựng hệ thống xác thực người dùng và hướng dẫn chi tiết việc triển khai authentication cho một dự án React frontend kết hợp Rails API backend. Nội dung tập trung vào cấu trúc, luồng xử lý, cũng như cách giao tiếp giữa hai phần mềm. Lưu ý, chức năng reset mật khẩu sẽ được đề cập trong bài khác.
Rails 8 Auth - Tổng Quan Các Nguyên Tắc Cơ Bản
Authentication Concern
Mọi logic xác thực trong Rails 8 đều được chứa trong module concern
Authentication :- Tạo và nạp session.
- Xác thực người dùng.
- Cài đặt context
Currentcho từng request.
Mỗi yêu cầu đều yêu cầu xác thực thông qua callback
require_authentication trừ khi được phép truy cập công khai qua allow_unauthenticated_access . Module cũng cung cấp helper authenticated? để kiểm tra trạng thái đăng nhập dễ dàng hơn trong views, thay thế cách dùng if current_user .Để truy cập trực tiếp user object trong view, bạn cần exposeCurrent.userbằnghelper_methodtrong controller.
Session Lưu Trữ Trên CSDL (DB-Backed Sessions)
Thay vì lưu toàn bộ dữ liệu người dùng vào cookie, Rails lưu session sensitive (chẳng hạn
user_id ) trên bảng sessions trong cơ sở dữ liệu.Ưu điểm | Mô Tả |
|---|---|
Bảo mật hơn | Dữ liệu người dùng lưu server, cookie client chỉ chứa session_id |
Hỗ trợ đa thiết bị | Một user có thể có nhiều session trên các thiết bị khác nhau |
Lưu thêm thông tin | Ghi lại user agent, IP,... trong bản ghi session |
Cookie session được thiết lập trong method
start_new_session_for(user) của Authentication module với các thuộc tính: httponly: true , same_site: :lax , secure (production).Request Context Qua Current
Rails 8 tạo ra lớp singleton request-scoped
Current kế thừa ActiveSupport::CurrentAttributes để lưu trữ thông tin session & user một cách thread-safe trong vòng đời 1 request HTTP.-
Current.sessionchứa session hiện tại.
-
Current.userlà user được authenticated tương ứng (được ủy quyền từ session).
Điều này giúp toàn bộ app có thể truy cập user & session mà không cần truyền tham số phức tạp.
Triển Khai Rails 8 Authentication Backend
1. Tạo Authentication Cơ Bản
Chạy lệnh:
Generator tạo:
- Model
Uservớihas_secure_password(bcrypt).
- Model
Sessionquản lý phiên làm việc.
- Module
Authenticationvà controllerPasswords,Sessions.
- Mailers và views liên quan password reset.
Cần tự tạo controllers và views cho việc đăng ký (sign up) và quản lý users vì generator không tạo sẵn.
2. Cấu Hình CORS và CSRF
Cài gem
rack-cors để cho phép React app (đang chạy ở origin khác) truy cập API Rails:Trong controller gốc:
3. Viết Controllers API
-
Api::UsersControllercho đăng ký user.
-
Api::SessionsControllerquản lý phiên đăng nhập.
4. Định Nghĩa Route
React Frontend Tích Hợp Với Rails 8 Auth
1. Cấu Hình Proxy Để Giao Tiếp Với API
Nếu dùng Vite (React 19.1), cấu hình proxy trong
vite.config.js :Hoặc trong
package.json (Create React App):2. Xây Dựng Các API Calls
Ví dụ trong component
AuthForm.jsx xử lý đăng ký và đăng nhập:- Sign Up
- Sign In
- Xác Thực Phiên Đăng Nhập Hiện Tại
Khi
App.jsx mount hoặc reload trang, dùng useEffect gọi:- Sign Out
Lưu ý: Tham sốcredentials: 'include'rất quan trọng để đảm bảo cookie session được gửi kèm theo request.
Những Điểm Cần Lưu Ý Khi Đưa Vào Production
- Triển khai cả backend Rails và frontend React trên HTTPS.
- Đặt cấu hình
trusted_originschính xác cho môi trường dev và prod.
- Nếu sử dụng subdomain, thiết lập thuộc tính
cookie domainđúng.
- Tiếp tục phát triển thêm UI và backend cho chức năng reset mật khẩu.
- Viết các mailer đăng ký mới người dùng.
- Trừu tượng hóa và tái sử dụng code gọi API trong React (custom hooks).
Kết Luận
Rails 8 cung cấp một thư viện xác thực hiện đại với nhiều cải tiến mạnh mẽ, tối ưu bảo mật bằng session lưu trên server và model request context thông minh qua
Current . Việc tích hợp với frontend React qua API rất dễ dàng và an toàn nếu bạn làm đúng các bước cấu hình.Bạn đã có một bộ khung authentication đầy đủ gồm đăng ký, đăng nhập, xác thực phiên làm việc và đăng xuất để phát triển ứng dụng React + Rails API. Với nền tảng này, bạn có thể mở rộng thêm các chức năng nâng cao như reset mật khẩu hay xác thực đa yếu tố theo nhu cầu.
Bạn có thể tham khảo thêm tài liệu chính thức của Rails và giữ liên hệ để trao đổi các cải tiến về code!
Tham Khảo
- Ruby on Rails Security Guide June 1, 2024
- Dev.to bài viết về Rails 8 Authentication (Nguồn gốc nội dung)
- Rails API Documentation và ActiveSupport::CurrentAttributes
- React JS Official Documentation về fetch và proxy
- Rack CORS GitHub Repository: https://github.com/cyu/rack-cors
Loading...