カテゴリ: Rails 更新日: 2025/12/25

Railsの認証フィルタを完全解説!初心者でもわかるbefore_action :authenticate_user!の使い方

認証フィルタの実装:before_action :authenticate_user! の応用
認証フィルタの実装:before_action :authenticate_user! の応用
先生と生徒の会話形式で理解しよう

生徒

「Railsでログインしていない人を、自動的にログイン画面に飛ばす方法ってありますか?」

先生

「はい、そのためには認証フィルタという仕組みを使います。Railsではbefore_action :authenticate_user!がよく使われますよ。」

生徒

「フィルタって何ですか?難しそう……」

先生

「大丈夫!フィルタは『このアクションを実行する前に必ずこれをしてね』というルールのことなんです。順番に見ていきましょう。」

1. 認証フィルタとは?

1. 認証フィルタとは?
1. 認証フィルタとは?

認証フィルタとは、「このページを見るにはログインが必要ですよ」と自動で判断してくれる仕組みのことです。

RailsではDevise(デバイス)という人気のログイン管理ライブラリを使うと、authenticate_user!という便利な命令が使えるようになります。

before_actionというフィルタ機能を使って、ログインしていない人は別のページ(たとえばログイン画面)に自動でリダイレクト(転送)させることができます。

2. コントローラに認証フィルタを設定する基本

2. コントローラに認証フィルタを設定する基本
2. コントローラに認証フィルタを設定する基本

たとえば「記事の投稿一覧ページ」をログイン済みユーザーしか見られないようにしたい場合、次のように書きます。


# app/controllers/posts_controller.rb
class PostsController < ApplicationController
  before_action :authenticate_user!

  def index
    @posts = Post.all
  end
end

このようにbefore_action :authenticate_user!と書くだけで、すべてのアクションに対して「ログインしていなければログインページに飛ばす」動作が自動で追加されます。

3. 特定のアクションだけに認証をかけるには?

3. 特定のアクションだけに認証をかけるには?
3. 特定のアクションだけに認証をかけるには?

「投稿一覧は誰でも見てよくて、編集だけはログインしてないとダメ」というケースでは、次のように限定指定します。


class PostsController < ApplicationController
  before_action :authenticate_user!, only: [:edit, :update, :destroy]

  def index
    @posts = Post.all
  end

  def edit
    @post = Post.find(params[:id])
  end
end

only:オプションで、どのアクションにだけ認証をかけるかを明確にできます。

4. 特定のアクションだけ認証を外すには?

4. 特定のアクションだけ認証を外すには?
4. 特定のアクションだけ認証を外すには?

逆に、基本的に全部ログインが必要だけど、このアクションだけは誰でもOKという場合はexcept:を使います。


class PostsController < ApplicationController
  before_action :authenticate_user!, except: [:index, :show]

  def index
    @posts = Post.all
  end

  def show
    @post = Post.find(params[:id])
  end
end

except:を使うことで、「このアクション以外はすべて認証が必要」と簡単に書けます。

5. 認証されていないとどうなるの?

5. 認証されていないとどうなるの?
5. 認証されていないとどうなるの?

ログインしていない状態で、認証が必要なページにアクセスすると、自動的にログインページにリダイレクトされます。

この動作はDeviseが用意してくれている仕組みで、何も設定しなくても安全な状態を保てます。


http://localhost:3000/posts/edit/1 にアクセス →
ログインしていない場合、自動で http://localhost:3000/users/sign_in にリダイレクト

6. 共通化のためにApplicationControllerに書く方法

6. 共通化のためにApplicationControllerに書く方法
6. 共通化のためにApplicationControllerに書く方法

すべてのページでログイン必須にしたいなら、ApplicationControllerにまとめて書いておくのがおすすめです。


# app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  before_action :authenticate_user!
end

これにより、すべてのコントローラでauthenticate_user!が有効になります。
ただし、一部のページだけは公開したいという場合には、except:skip_before_actionを組み合わせて調整できます。

7. skip_before_actionで認証を無効にする

7. skip_before_actionで認証を無効にする
7. skip_before_actionで認証を無効にする

ApplicationControllerで認証を有効にしたあと、特定のコントローラではそれを無効にしたいという場合には、次のように書きます。


class HomeController < ApplicationController
  skip_before_action :authenticate_user!

  def top
  end
end

これで、HomeControllerだけはログインなしで見られるようになります。

8. 認証フィルタはセキュリティの第一歩

8. 認証フィルタはセキュリティの第一歩
8. 認証フィルタはセキュリティの第一歩

認証フィルタは、RailsのWebアプリケーションにおけるセキュリティ対策の基本です。ログインしていないユーザーが勝手に投稿を編集したり、削除したりすることを防げます。

また、Deviseと組み合わせることで、複雑なログイン処理を自動でカバーしながら、コードはシンプルに保つことができます。

今後アプリケーションを作っていくうえで、認証フィルタの知識は非常に役に立ちます。

まとめ

まとめ
まとめ

認証フィルタを理解するとRailsアプリの安全性が一気に高まる

この記事では、Railsにおける認証フィルタの基本から実践的な使い方までを、before_action :authenticate_user!を中心に解説してきました。RailsでWebアプリケーションを作る際、「ログインしていない人に見せてはいけないページをどう守るか」は、最初につまずきやすいポイントでありながら、非常に重要なテーマです。

認証フィルタとは、「アクションが実行される前に、必ずログイン状態を確認する仕組み」です。Railsではbefore_actionという便利なフィルタ機能が用意されており、Deviseと組み合わせることで、authenticate_user!という命令ひとつでログインチェックを実現できます。このシンプルさが、Railsが初心者にも扱いやすいと言われる理由のひとつです。

コントローラにbefore_action :authenticate_user!を書くことで、そのコントローラ内のすべてのアクションに対して認証が適用されます。ログインしていないユーザーがアクセスした場合は、自動的にログインページへリダイレクトされるため、開発者が個別に判定処理を書く必要はありません。これにより、認証漏れによるセキュリティ事故を防ぎやすくなります。

また、only:except:オプションを使えば、「このアクションだけログイン必須」「このページだけは誰でも見られる」といった柔軟な制御も可能です。ブログやSNSのように、一覧や詳細は公開しつつ、編集や削除はログイン必須にしたい場合には、この指定がとても役立ちます。コードを見ただけで認証ルールが分かる点も、大きなメリットです。

さらに、ApplicationControllerに認証フィルタを書くことで、「基本はすべてログイン必須」という設計にもできます。この方法は、管理画面や社内向けシステムなど、公開ページが少ないアプリケーションで特に有効です。そのうえで、skip_before_actionを使えば、トップページや案内ページなど、必要な部分だけを例外として公開できます。

認証フィルタは、単なる便利機能ではなく、Railsアプリケーションにおけるセキュリティの第一歩です。ログインチェックを忘れてしまうと、本来操作できないはずのユーザーがデータを変更できてしまう危険性があります。Deviseと認証フィルタを正しく使うことで、そのようなリスクを最小限に抑えることができます。

初心者のうちは「なぜこの1行を書く必要があるのか」が分かりにくいかもしれませんが、アプリが成長して機能が増えるほど、認証フィルタのありがたみを実感するようになります。Railsの流れに沿って設計することが、そのまま安全で保守しやすいアプリづくりにつながるのです。

認証フィルタの復習用サンプルプログラム


class ArticlesController < ApplicationController
  before_action :authenticate_user!, except: [:index, :show]

  def index
    @articles = Article.all
  end

  def show
    @article = Article.find(params[:id])
  end

  def edit
    @article = Article.find(params[:id])
  end
end

この例では、記事の一覧と詳細ページは誰でも閲覧できますが、編集画面にはログインが必要です。認証ルールがシンプルに表現されており、後から見返しても意図が分かりやすい構成になっています。

先生と生徒の振り返り会話

生徒

「before_actionって、ただのおまじないだと思っていましたけど、ちゃんと意味があったんですね。」

先生

「そうなんです。Railsでは1行の裏側に、たくさんの仕組みが詰まっています。」

生徒

「ログインチェックを自分で書かなくていいのは、すごく安心です。」

先生

「その安心感こそが、フレームワークを使う大きなメリットですね。」

生徒

「認証フィルタを使えば、どのページを守るかもはっきり整理できますね。」

先生

「はい。設計を考える力も自然と身についていきますよ。」

関連記事:
セッションとクッキーの使い方:サインイン状態・期限・セキュリティ設定 | Railsのセッションとクッキーを完全解説!初心者でもわかるサインイン状態とセキュリティ設定
Railsコントローラ入門:アクション・リクエストライフサイクルを理解 | Railsコントローラ入門:アクションとリクエストライフサイクルを初心者向けに徹底解説!
Strong Parametersの書き方:require/permitで安全に受け取る【保存版】 | Strong Parametersの書き方:require・permitで安全に受け取る【保存版】
フラッシュメッセージの設計:flash/flash.nowの違いとUIに反映する方法 | Railsのフラッシュメッセージ完全ガイド!flashとflash.nowの違いと使い方
Namespaced ControllerとAdmin構成:ルート・認可・レイアウトの分離 | RailsのNamespaced ControllerとAdmin構成を完全解説!初心者でもわかるルート・認可・レイアウトの分離
よくあるエラー解決集:AbstractController::ActionNotFound/InvalidAuthenticityToken | Railsのよくあるエラーを解決!AbstractController::ActionNotFoundとInvalidAuthenticityTokenの原因と対処法
セキュリティ強化:ヘッダー設定・リファラ検証・リダイレクトオープンリダイ対策 | Railsのセキュリティ強化!初心者でもわかるヘッダー設定・リファラ検証・オープンリダイレクト対策
検索・フィルタの設計:クエリオブジェクト/Paramsオブジェクト導入法 | Railsの検索とフィルタの設計!初心者でもわかるParamsとクエリオブジェクトの使い方
カテゴリの一覧へ
新着記事
New1
Ruby
“すべてはオブジェクト”を体感:irbで学ぶRubyのオブジェクト指向
“すべてはオブジェクト”を体感!初心者向けRubyのオブジェクト指向入門【irbで学ぶ】
New2
Ruby
標準入出力の基本:puts・print・p の違いとデバッグに効く使い分け
Rubyの標準入出力を完全ガイド!puts・print・pの違いとデバッグ活用法
New3
Ruby
Gemとは?RubyGemsとBundlerの仕組み・依存関係管理を図解で理解
Gemとは?RubyGemsとBundlerを初心者向けに完全解説!依存関係管理も図解でわかりやすく理解
New4
Ruby
文字エンコーディング入門:UTF-8・マジックコメント・外部/内部エンコーディング
Rubyの文字エンコーディング入門!UTF-8・マジックコメント・外部/内部エンコーディングを完全解説
人気記事
No.1
Java&Spring記事人気No1
Ruby
reduce/inject 入門:合計・連結・ハッシュ集計の実例で理解
 53
Rubyのreduceとinject入門!合計計算や集計を初心者向けに分かりやすく解説
No.2
Java&Spring記事人気No2
Ruby
エンコーディング完全理解:Encoding・force_encoding・encodeの基本
 34
Rubyの文字列エンコーディング完全ガイド!Encoding・force_encoding・encodeを初心者向け解説
No.3
Java&Spring記事人気No3
Ruby
Rubyの始め方ガイド:インストールから最初のHello Worldまで(Windows/Mac/Linux)
 33
Rubyの始め方ガイド:インストールから最初のHello Worldまで(Windows/Mac/Linux)
No.4
Java&Spring記事人気No4
データベース
PostgreSQLでWHERE句を使う方法と注意点を整理
 31
PostgreSQLのWHERE句を徹底解説!初心者でもわかるSQLデータ抽出の基本
No.5
Java&Spring記事人気No5
Ruby
find/detect/find_index:最初の1件を素早く探す最適解
 28
Rubyのfind/detect/find_indexを徹底解説!目的のデータを素早く探す方法
No.6
Java&Spring記事人気No6
Ruby
比較演算子の使い分け:==・===・<=>・eql? の違いを徹底解説
 26
Rubyで比較演算子を完全解説!==・===・<=>・eql? の使い分け
No.7
Java&Spring記事人気No7
Ruby
select/reject/filter の使いどころ:条件抽出の鉄板レシピ
 26
Rubyのselect/reject/filterの使い方を完全解説!初心者向けの条件抽出レシピ
No.8
Java&Spring記事人気No8
データベース
PostgreSQLで順位付けを行う方法とは?ROW_NUMBERの基本を解説
 25
PostgreSQLで順位付け!ROW_NUMBER関数の使い方を初心者向けに徹底解説