第4回では， RailsのOpenID Authenticationプラグインを使って，OpenIDでログインとユーザ登録ができるアプリケーションを作成しました。しかし，現状ではOpenIDの認知率が10％強ということもあり，すべての人が OpenID を使える訳ではありません（参考: 【OpenIDに関する調査】OpenIDの利用率はわずか1.2％／認知率は12％）。

そのため， OpenID認証だけでなくパスワードによる認証も併用したい場合もあります。そこで前回作成したアプリケーションを改造し，OpenID Authenticationプラグインとパスワード認証を行うRESTful Authenticationプラグインを併用して，利用者がOpenID認証とパスワード認証の両方から選べるようにします。

また，最後にはOpenIDでログインできるOPを制限する，ホワイトリスト方式を実装します。

パスワードによる認証機能を提供するRESTful Authentication

第4回でも軽くご紹介しましたが， RESTful Authentication はパスワードによる認証機能を提供する Rails プラグインです。これまでによく使われていたacts_as_authenticatedプラグインの後継で，Rails 2.0の認証プラグインの標準となっています。今回は説明しませんが，RESTful Authenticationプラグインはパスワードによる認証に加えて，以下のような機能を持っています。

• salt付きハッシュによるパスワードの暗号化（パスワードを復号できないので，正確には暗号化ではなくハッシュ化です）
• メールアドレスを用いたユーザのアクティベーション
• Cookieを用いた「次回から自動的にログイン」機能

RESTful Authenticationプラグインは，以下のコマンドでインストールできます。

$ ./script/plugin install restful_authentication

プラグインをインストールすると，以下のgenerateコマンドでUserモデルとSessionsコントローラのひな形を生成できます。ただし，UserモデルもSessionsモデルも第4回で作成しているので，generateコマンドでそのまま上書きするのではなく，バックアップをとった上で両者のコードをマージしました。

$ ./script/generate authenticated user sessions

generateコマンドを実行すると，認証に必要なライブラリを集めたlib/authentication_system.rbというファイルも生成されます。

パスワード認証機能の組み込み

第4回で作成した画面遷移図を，パスワード認証と併用できるように修正したものが図1になります。

色がついている画面や矢印が，パスワード認証と併用するために修正を加える箇所になります。修正しない箇所はグレーや点線の矢印で表しています。パスワード認証によるログインの流れは，以下のようになります。

• （1）利用者がIDとパスワードを入力し，ログインボタンをクリックします
• （2）利用者から送信されたパラメータを解析し，OpenID認証とパスワード認証のどちらであるかを判定します
• （2-A）パスワード認証であればデータベースに登録したパスワードと照合し，一致すればログイン成功とみなしサービス画面を表示します
• （2-B）パスワードが一致しなければログイン画面にエラーメッセージを表示します
• （2-C）OpenID認証であれば外部のOpenID Providerへ利用者を誘導します（従来の機能）

また，パスワード認証を利用するユーザのためのログイン画面も追加しています。修正箇所の一覧を表1に示します。