カテゴリ: Rails 更新日: 2025/12/25

Railsの認証フィルタを完全解説!初心者でもわかるbefore_action :authenticate_user!の使い方

認証フィルタの実装:before_action :authenticate_user! の応用
認証フィルタの実装:before_action :authenticate_user! の応用
先生と生徒の会話形式で理解しよう

生徒

「Railsでログインしていない人を、自動的にログイン画面に飛ばす方法ってありますか?」

先生

「はい、そのためには認証フィルタという仕組みを使います。Railsではbefore_action :authenticate_user!がよく使われますよ。」

生徒

「フィルタって何ですか?難しそう……」

先生

「大丈夫!フィルタは『このアクションを実行する前に必ずこれをしてね』というルールのことなんです。順番に見ていきましょう。」

1. 認証フィルタとは?

1. 認証フィルタとは?
1. 認証フィルタとは?

認証フィルタとは、「このページを見るにはログインが必要ですよ」と自動で判断してくれる仕組みのことです。

RailsではDevise(デバイス)という人気のログイン管理ライブラリを使うと、authenticate_user!という便利な命令が使えるようになります。

before_actionというフィルタ機能を使って、ログインしていない人は別のページ(たとえばログイン画面)に自動でリダイレクト(転送)させることができます。

2. コントローラに認証フィルタを設定する基本

2. コントローラに認証フィルタを設定する基本
2. コントローラに認証フィルタを設定する基本

たとえば「記事の投稿一覧ページ」をログイン済みユーザーしか見られないようにしたい場合、次のように書きます。


# app/controllers/posts_controller.rb
class PostsController < ApplicationController
  before_action :authenticate_user!

  def index
    @posts = Post.all
  end
end

このようにbefore_action :authenticate_user!と書くだけで、すべてのアクションに対して「ログインしていなければログインページに飛ばす」動作が自動で追加されます。

3. 特定のアクションだけに認証をかけるには?

3. 特定のアクションだけに認証をかけるには?
3. 特定のアクションだけに認証をかけるには?

「投稿一覧は誰でも見てよくて、編集だけはログインしてないとダメ」というケースでは、次のように限定指定します。


class PostsController < ApplicationController
  before_action :authenticate_user!, only: [:edit, :update, :destroy]

  def index
    @posts = Post.all
  end

  def edit
    @post = Post.find(params[:id])
  end
end

only:オプションで、どのアクションにだけ認証をかけるかを明確にできます。

4. 特定のアクションだけ認証を外すには?

4. 特定のアクションだけ認証を外すには?
4. 特定のアクションだけ認証を外すには?

逆に、基本的に全部ログインが必要だけど、このアクションだけは誰でもOKという場合はexcept:を使います。


class PostsController < ApplicationController
  before_action :authenticate_user!, except: [:index, :show]

  def index
    @posts = Post.all
  end

  def show
    @post = Post.find(params[:id])
  end
end

except:を使うことで、「このアクション以外はすべて認証が必要」と簡単に書けます。

5. 認証されていないとどうなるの?

5. 認証されていないとどうなるの?
5. 認証されていないとどうなるの?

ログインしていない状態で、認証が必要なページにアクセスすると、自動的にログインページにリダイレクトされます。

この動作はDeviseが用意してくれている仕組みで、何も設定しなくても安全な状態を保てます。


http://localhost:3000/posts/edit/1 にアクセス →
ログインしていない場合、自動で http://localhost:3000/users/sign_in にリダイレクト

6. 共通化のためにApplicationControllerに書く方法

6. 共通化のためにApplicationControllerに書く方法
6. 共通化のためにApplicationControllerに書く方法

すべてのページでログイン必須にしたいなら、ApplicationControllerにまとめて書いておくのがおすすめです。


# app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
  before_action :authenticate_user!
end

これにより、すべてのコントローラでauthenticate_user!が有効になります。
ただし、一部のページだけは公開したいという場合には、except:skip_before_actionを組み合わせて調整できます。

7. skip_before_actionで認証を無効にする

7. skip_before_actionで認証を無効にする
7. skip_before_actionで認証を無効にする

ApplicationControllerで認証を有効にしたあと、特定のコントローラではそれを無効にしたいという場合には、次のように書きます。


class HomeController < ApplicationController
  skip_before_action :authenticate_user!

  def top
  end
end

これで、HomeControllerだけはログインなしで見られるようになります。

8. 認証フィルタはセキュリティの第一歩

8. 認証フィルタはセキュリティの第一歩
8. 認証フィルタはセキュリティの第一歩

認証フィルタは、RailsのWebアプリケーションにおけるセキュリティ対策の基本です。ログインしていないユーザーが勝手に投稿を編集したり、削除したりすることを防げます。

また、Deviseと組み合わせることで、複雑なログイン処理を自動でカバーしながら、コードはシンプルに保つことができます。

今後アプリケーションを作っていくうえで、認証フィルタの知識は非常に役に立ちます。

まとめ

まとめ
まとめ

認証フィルタを理解するとRailsアプリの安全性が一気に高まる

この記事では、Railsにおける認証フィルタの基本から実践的な使い方までを、before_action :authenticate_user!を中心に解説してきました。RailsでWebアプリケーションを作る際、「ログインしていない人に見せてはいけないページをどう守るか」は、最初につまずきやすいポイントでありながら、非常に重要なテーマです。

認証フィルタとは、「アクションが実行される前に、必ずログイン状態を確認する仕組み」です。Railsではbefore_actionという便利なフィルタ機能が用意されており、Deviseと組み合わせることで、authenticate_user!という命令ひとつでログインチェックを実現できます。このシンプルさが、Railsが初心者にも扱いやすいと言われる理由のひとつです。

コントローラにbefore_action :authenticate_user!を書くことで、そのコントローラ内のすべてのアクションに対して認証が適用されます。ログインしていないユーザーがアクセスした場合は、自動的にログインページへリダイレクトされるため、開発者が個別に判定処理を書く必要はありません。これにより、認証漏れによるセキュリティ事故を防ぎやすくなります。

また、only:except:オプションを使えば、「このアクションだけログイン必須」「このページだけは誰でも見られる」といった柔軟な制御も可能です。ブログやSNSのように、一覧や詳細は公開しつつ、編集や削除はログイン必須にしたい場合には、この指定がとても役立ちます。コードを見ただけで認証ルールが分かる点も、大きなメリットです。

さらに、ApplicationControllerに認証フィルタを書くことで、「基本はすべてログイン必須」という設計にもできます。この方法は、管理画面や社内向けシステムなど、公開ページが少ないアプリケーションで特に有効です。そのうえで、skip_before_actionを使えば、トップページや案内ページなど、必要な部分だけを例外として公開できます。

認証フィルタは、単なる便利機能ではなく、Railsアプリケーションにおけるセキュリティの第一歩です。ログインチェックを忘れてしまうと、本来操作できないはずのユーザーがデータを変更できてしまう危険性があります。Deviseと認証フィルタを正しく使うことで、そのようなリスクを最小限に抑えることができます。

初心者のうちは「なぜこの1行を書く必要があるのか」が分かりにくいかもしれませんが、アプリが成長して機能が増えるほど、認証フィルタのありがたみを実感するようになります。Railsの流れに沿って設計することが、そのまま安全で保守しやすいアプリづくりにつながるのです。

認証フィルタの復習用サンプルプログラム


class ArticlesController < ApplicationController
  before_action :authenticate_user!, except: [:index, :show]

  def index
    @articles = Article.all
  end

  def show
    @article = Article.find(params[:id])
  end

  def edit
    @article = Article.find(params[:id])
  end
end

この例では、記事の一覧と詳細ページは誰でも閲覧できますが、編集画面にはログインが必要です。認証ルールがシンプルに表現されており、後から見返しても意図が分かりやすい構成になっています。

先生と生徒の振り返り会話

生徒

「before_actionって、ただのおまじないだと思っていましたけど、ちゃんと意味があったんですね。」

先生

「そうなんです。Railsでは1行の裏側に、たくさんの仕組みが詰まっています。」

生徒

「ログインチェックを自分で書かなくていいのは、すごく安心です。」

先生

「その安心感こそが、フレームワークを使う大きなメリットですね。」

生徒

「認証フィルタを使えば、どのページを守るかもはっきり整理できますね。」

先生

「はい。設計を考える力も自然と身についていきますよ。」

関連記事:
CSRF対策の仕組み:protect_from_forgeryとAPIモードの扱い | RailsのCSRF対策を徹底解説!初心者でも理解できるprotect_from_forgeryとAPIモードの違い
respond_toとフォーマット別処理:HTML/JSON/XML/Turbo Streamの実装 | respond_toとフォーマット別処理を完全解説!HTML・JSON・XML・Turbo Streamの使い方まとめ
セッションとクッキーの使い方:サインイン状態・期限・セキュリティ設定 | Railsのセッションとクッキーを完全解説!初心者でもわかるサインイン状態とセキュリティ設定
Railsコントローラ入門:アクション・リクエストライフサイクルを理解 | Railsコントローラ入門:アクションとリクエストライフサイクルを初心者向けに徹底解説!
Strong Parametersの書き方:require/permitで安全に受け取る【保存版】 | Strong Parametersの書き方:require・permitで安全に受け取る【保存版】
フラッシュメッセージの設計:flash/flash.nowの違いとUIに反映する方法 | Railsのフラッシュメッセージ完全ガイド!flashとflash.nowの違いと使い方
before_action完全ガイド:only/except/skip_before_actionの使い分け | before_action完全ガイド:初心者向けにonly・except・skip_before_actionの使い方を徹底解説!
よくあるエラー解決集:AbstractController::ActionNotFound/InvalidAuthenticityToken | Railsのよくあるエラーを解決!AbstractController::ActionNotFoundとInvalidAuthenticityTokenの原因と対処法
カテゴリの一覧へ
新着記事
New1
データベース
SQLの処理が遅くなる原因とは?初心者向けに基本から解説
SQLの処理が遅くなる原因とは?初心者向けにデータベースパフォーマンス最適化を完全解説
New2
Ruby
ネストHashの操作:dig・transform_keys/transform_values の実例
RubyのネストHash操作を徹底解説!digとtransformメソッドで複雑なデータも楽々
New3
Rails
インデックス設計の極意:単一・複合・部分・UNIQUE・順序付けの使い分け
Railsインデックス設計の極意!爆速サイトを作るためのスキーマ設計ガイド
New4
データベース
COMMITとROLLBACKの違いとは?SQLトランザクションの基本操作を解説
SQLのCOMMITとROLLBACKとは?トランザクション操作を初心者向けに完全解説
人気記事
No.1
Java&Spring記事人気No1
Ruby
PATHと環境変数の正しい設定:Windows/Mac/Linuxでの通し方チェックリスト
 43
PATHと環境変数の正しい設定!Windows・Mac・Linux別チェックリスト付き
No.2
Java&Spring記事人気No2
Rails
日本語と時刻設定:locale/zone を既定値にする初期設定チートシート
 35
Railsで日本語と時刻の設定をしよう!初心者でも安心のlocale/zone初期設定チートシート
No.3
Java&Spring記事人気No3
Ruby
シンボルキーと文字列キー:メモリ・速度・可読性で徹底比較
 33
Rubyのハッシュを徹底比較!シンボルキーと文字列キーの違いと使い分け
No.4
Java&Spring記事人気No4
Rails
カラム型の選び方:string/text/integer/bigint/decimal/boolean/uuid徹底比較
 31
Railsマイグレーションの型選びを完全ガイド!初心者が迷わないカラム設計
No.5
Java&Spring記事人気No5
Ruby
WindowsでRubyをインストール:RubyInstaller+MSYS2完全ガイド
 30
WindowsでRubyをインストールする方法!RubyInstallerとMSYS2を使った完全ガイド
No.6
Java&Spring記事人気No6
Rails
ID戦略:AUTO INCREMENT/UUID/ULID の比較と導入手順
 28
RailsモデルとActive Record基礎|ID戦略を完全理解!AUTO INCREMENT・UUID・ULIDの比較と導入手順
No.7
Java&Spring記事人気No7
Rails
クエリログの読み方:EXPLAIN/joins/includesの違いを理解
 25
RailsモデルとActive Record基礎|クエリログの読み方を理解してEXPLAIN・joins・includesの違いを学ぼう
No.8
Java&Spring記事人気No8
データベース
ACID特性とは何か?トランザクションの信頼性を初心者向けに説明
 25
ACID特性とは?データベーストランザクションの信頼性を初心者向けに徹底解説