Railsチュートリアルの第１４章を進めていきます。最終章です🐻

第１４章（ユーザーをフォローする）

• 第１４章（ユーザーをフォローする）
  • リレーションシップモデル
    • User/Relationshipの関連付け
    • has_many through
  • ［Follow］のWebインターフェイス
    • memberメソッドを使用したルーティング
    • follow/unfollow用のパーシャル
    • follow/unfollowページの統合テスト
    • Followボタン
      • respond_toメソッド
  • ステータスフィード
    • ステータスフィードを返す記述
      • ①の部分
      • ②の部分
    • サブセレクト
    • N+1クエリ問題、eagerloading
• 第１４章ー演習ー
  • 14.1.1
  • 14.1.2
  • 14.1.3
  • 14.1.4
  • 14.1.5
  • 14.2.1
  • 14.2.2
  • 14.2.3
  • 14.2.4
  • 14.2.5
  • 14.3.1
  • 14.3.2
  • 14.3.3
• 第１４章ーまとめー

リレーションシップモデル

ユーザーのテーブル、フォロー（following）のテーブル、フォロワー（followers）のテーブルをそれぞれ作成しようとすると、重複した行が多く取り扱いが非常にやっかいとなるため、お互いの関係を考慮したリレーションシップモデルが有効。
リレーションシップという１つのモデルを用いて、フォローしている人から見てもフォロワーから見ても矛盾の無いように抽象化する。

マイグレーションファイルでは、それぞれのインデックスと一意性を担保した複合キーインデックスの３種。これによって、follower_idとfollowed_idの組み合わせは重複しないようになり、各要素に対するクエリも高速化される。

class CreateRelationships < ActiveRecord::Migration[7.0]
  def change
    create_table :relationships do |t|
      t.integer :follower_id
      t.integer :followed_id

      t.timestamps
    end
    add_index :relationships, :follower_id
    add_index :relationships, :followed_id
    add_index :relationships, [:follower_id, :followed_id], unique: true
  end
end

User/Relationshipの関連付け

１３章のマイクロポストにおけるUser/Micropostモデルの関連付けではhas_many :micropostsとしたが、これに対応するMicropostモデルを使用するからこれでよかった。
ただ今回も同じようにhas_many :active_relationshipsとしてしまうと、期待するモデルでは無いため、モデル名を明示的に渡す必要がある。

更に、マイクロポストモデルにおいてbelongs_to :userとするのは、Userモデルに属しておりそれを繋げる外部キーとしてuser_idを生成するという機能であった。
Railsは自動的にアンダースコア化したクラス名を元にclass_idという外部キーを生成（Userクラスであればuser_id、FooBarクラスであればfoo_bar_id）する。
belongs_to :followerのように書くと外部キーはfollower_idでいいが、関連付けるモデルがfollowerモデルとおかしなことになるため、関連付けるモデルを明示的に示す必要がある。。

クラス名と外部キーを指定したhas_many（削除依存もおまけ）

  has_many :active_relationships, class_name:  "Relationship",
                                  foreign_key: "follower_id",
                                  dependent:   :destroy

期待するクラス名を指定したbelongs_to

  belongs_to :follower, class_name: "User"
  belongs_to :followed, class_name: "User"

has_many through

has_many throughではthroughオプションで指定した関係を経由した関連付けが形成される。

[app/models/user.rb]
  has_many :active_relationships, class_name:  "Relationship",
                                  foreign_key: "follower_id",
                                  dependent:   :destroy
  has_many :following, through: :active_relationships, source: :followed

ここでは、has_many :active_relationshipsで命名したactive_relationshipsレコードを経由して、followedコレクションを取得できる。ただ、followedの複数形followedsは不適なので、source: :followedとした上でfollowingでオーバーライドしている。

passive_relationshipsも併せたユーザーモデル。

[app/models/user.rb]
  has_many :microposts, dependent: :destroy
  has_many :active_relationships,  class_name:  "Relationship",
                                   foreign_key: "follower_id",
                                   dependent:   :destroy
  has_many :passive_relationships, class_name:  "Relationship",
                                   foreign_key: "followed_id",
                                   dependent:   :destroy
  has_many :following, through: :active_relationships,  source: :followed
  has_many :followers, through: :passive_relationships, source: :follower

［Follow］のWebインターフェイス

memberメソッドを使用したルーティング

memberメソッドは、ユーザーidを含むURLを扱う。この場合だと、/users/1/followingと/users/1/followersとなる。（collectionメソッドというのもあり、これはidを指定しないすべてのリスト）

  resources :users do
    member do
      get :following, :followers
    end
  end

ルーティングに対応するアクションも必要となる。ここで、通常ビューはコントローラのアクションに対応する名前で呼び出す（following.html.erbなど）が、アクション内でrenderで明示的に呼び出すビューを指定しておくことも可能。

[app/controllers/users_controller.rb]

  before_action :logged_in_user, only: [:index, :edit, :update, :destroy,
                                        :following, :followers]
  .
  .
  .
  def following
    @title = "Following"
    @user  = User.find(params[:id])
    @users = @user.following.paginate(page: params[:page])
    render 'show_follow', status: :unprocessable_entity
  end

  def followers
    @title = "Followers"
    @user  = User.find(params[:id])
    @users = @user.followers.paginate(page: params[:page])
    render 'show_follow', status: :unprocessable_entity
  end

follow/unfollow用のパーシャル

follow/unfollowの実際の動作としては
followは新しいリレーションシップを作成する ⇒ POSTリクエストによってリレーションシップをcreateする。
unfollowは既存のリレーションシップを探索して削除する ⇒ DELETEリクエストによってリレーションシップをdestroyする。

つまり、ルーティングが必要。followとunfollowに対応するルーティングのみをresourcesで作成しておく。

 resources :relationships,       only: [:create, :destroy]

ボタン用のパーシャルでは、followとunfollowのパーシャルに作業を振り分けている。

[app/views/users/_follow_form.html.erb]
<% unless current_user?(@user) %>
  <div id="follow_form">
  <% if current_user.following?(@user) %>
    <%= render 'unfollow' %>
  <% else %>
    <%= render 'follow' %>
  <% end %>
  </div>
<% end %>

followパーシャルではfollowed_idをコントローラに送信しないといけないため、hidden_field_tagで隠し属性としてデータを埋め込んでいる。

[app/views/users/_follow.html.erb]
<%= form_with(model: current_user.active_relationships.build) do |f| %>
  <div><%= hidden_field_tag :followed_id, @user.id %></div>
  <%= f.submit "Follow", class: "btn btn-primary" %>
<% end %>

follow/unfollowページの統合テスト

ここのテストは、フォロー/フォロワーの統計情報があるかassert_matchで調べており、またフォロー/フォロワーそれぞれについてそのユーザーへのパスがあるかをassert_select "a[href=?]"で調べている。
重要な部分としてassert_not @user.following.empty?の記述。これは後述するassert_select "a[href=?]"が「空虚な真」で無いことを保証している。∵@user.followingがemptyで誰もフォローしていないならば、そのあとのブロックにおけるテストが実行されないままスルーされ、実際は何も検証できていないのにテストがパスしてしまう。

[test/integration/following_test.rb]
require "test_helper"

class Following < ActionDispatch::IntegrationTest

  def setup
    @user  = users(:michael)
    log_in_as(@user)
  end
end

class FollowPagesTest < Following

  test "following page" do
    get following_user_path(@user)
    assert_response :unprocessable_entity
    assert_not @user.following.empty?
    assert_match @user.following.count.to_s, response.body
    @user.following.each do |user|
      assert_select "a[href=?]", user_path(user)
    end
  end

  test "followers page" do
    get followers_user_path(@user)
    assert_response :unprocessable_entity
    assert_not @user.followers.empty?
    assert_match @user.followers.count.to_s, response.body
    @user.followers.each do |user|
      assert_select "a[href=?]", user_path(user)
    end
  end
end

Followボタン

フォローはリレーションシップの作成(create)、フォロー解除はリレーションシップの削除(destroy)となる。すこしここの動作の理解は難しかったです。
createアクションではUser.find(params[:followed_id])フォローするユーザーを探しているが、ここのfollowed_id]は_follow.html.erbで隠しフィールドとして配置したhidden_field_tag :followed_id, @user.idによってサポートされている。これによって、followボタンを押した時の動作としてそのユーザーのidをfollowed_idとして受け取れる。
destroyアクションは、Relationshipモデルの特定のidにおけるfollowedを示す。ここでのfollowedはbelongs_toでfollowedを紐づけているため、指定したRelationshipモデルの中のfollowed_idを有するユーザーを返す動作。
更に、current_userを主体とすることで、ログインしていないユーザーが直接この動作にアクセスしようとした場合にエラーを発生させることが出来る。

[app/controllers/relationships_controller.rb]
class RelationshipsController < ApplicationController
  before_action :logged_in_user

  def create
    user = User.find(params[:followed_id])
    current_user.follow(user)
    redirect_to user
  end

  def destroy
    user = Relationship.find(params[:id]).followed
    current_user.unfollow(user)
    redirect_to user, status: :see_other
  end
end

respond_toメソッド

通常のリクエストとTurboによるリクエストを統一的に扱い、どちらかを実行するようにrespond_toで制御できる。if-else的な処理。

respond_to do |format|
  format.html { redirect_to user, status: :see_other }
  format.turbo_stream
end

ステータスフィード

フィードの実装要件としては、フォローしているユーザーとユーザー自身のマイクロポストのみを含めて、フォローしていないユーザーのものは含めない。

ステータスフィードを返す記述

現在のユーザーに対応するユーザーのマイクロポストを抽出する場合は、Micropost.where("user_id = ?", id)のみでokだった。
今回の実装に使用する記述は少し複雑。

Micropost.where("user_id IN (?) OR user_id = ?", following_ids, id)

中身としては、①Micropost.where("user_id IN (?), following_ids)と、②Micropost.where("user_id = ?", id)の２つに分けられる。

①の部分

following_idsはhas_many :following関連付けを行うとActive Recordによって自動生成されるメソッドであり、following.map(&:id)を意味しており、user.followingにある各要素のidを呼び出し、フォローしているユーザーのidを配列として利用可能となる。
SQLのIN句は、複数の値に合致するデータを抽出する動作なので、following_idsで得られた配列に対しIN句を利用することで、フォローしているユーザーのマイクロポストのデータを取得可能。

②の部分

これは元々のuser自身のマイクロポストを全て返す動作。

これによって、①と②の組み合わせで①フォローしているユーザーと②ユーザー自身のマイクロポストが取得できる。

また、？よりも同じ変数を複数の場所に挿入する場合はハッシュ形式でも便利。

Micropost.where("user_id IN (:following_ids) OR user_id = :user_id",
    following_ids: following_ids, user_id: id)

サブセレクト

フィードの件数が膨大になるとスケール（処理量の調節）されないためる問題をSQLのサブセレクトで解決可能。
ここは以下の質問を参考にしました。サブセレクトを活用することでデータベースへの問い合わせがより少ない手法で記述することが可能といったところですかね。

teratail.com

N+1クエリ問題、eagerloading

Micropost.where("user_id IN (:following_ids) OR user_id = :user_id",following_ids: following_ids, user_id: id)の記述だと、マイクロポストのみをクエリしているからマイクロポストの取り出し自体はクエリ１件で済むが、その結果を元にユーザーや添付画像をクエリする必要があるため、追加でN～２N件のクエリが必要となる。これがN+１クエリ問題。

１件のクエリの中にその他の必要なデータを取り出すクエリも含める手法がeager loading。これによって、トータル１件のクエリのみで済むようになる。

Micropost.where("user_id IN (#{following_ids})
                 OR user_id = :user_id", user_id: id)
         .includes(:user, image_attachment: :blob)

第１４章ー演習ー

14.1.1

①図 14.7のid=1のユーザーに対してuser.following.map(&:id)を実行すると、結果はどのようになるでしょうか? 想像してみてください。（ヒント: 4.3.2で紹介したmap(&:method_name)のパターンを思い出してください。例えばuser.following.map(&:id)の場合、idの配列を返します。）
(解答) ["2", "7", "8", "10"]の配列が返される。

②図 14.7を参考にして、id=2のユーザーに対してuser.followingを実行すると、結果はどのようになるでしょうか? また、同じユーザーに対してuser.following.map(&:id)を実行すると、結果はどのようになるでしょうか? 想像してみてください。
(解答)id=1のユーザーの情報が返される。["1"]の配列が返される。

14.1.2

①コンソールを開き、表 14.1のcreateメソッドを使ってActiveRelationshipを作ってみましょう。データベース上に2人以上のユーザーを用意し、最初のユーザーが2人目のユーザーをフォローしている状態を作ってみてください。
(解答)

irb(main):002:0> user = User.first
  User Load (2.7ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ?  [["LIMIT", 1]]
=>                                                               
#<User:0x00007f7de5289f00                                        
...                                                              
irb(main):003:0> other_user = User.second
  User Load (0.6ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ? OFFSET ?  [["LIMIT", 1], ["OFFSET", 1]]
=>                                                                           
#<User:0x00007f7de6c51e88                                                    
...                                                                          
irb(main):004:0> user.active_relationships.create(followed_id: other_user.id)
  TRANSACTION (0.1ms)  begin transaction
  User Load (0.4ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 1], ["LIMIT", 1]]                   
  User Load (0.2ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 2], ["LIMIT", 1]]                   
  Relationship Create (8.6ms)  INSERT INTO "relationships" ("follower_id", "followed_id", "created_at", "updated_at") VALUES (?, ?, ?, ?)  [["follower_id", 1], ["followed_id", 2], ["created_at", "2023-04-21 14:59:00.445063"], ["updated_at", "2023-04-21 14:59:00.445063"]]                                                         
  TRANSACTION (13.2ms)  commit transaction                                                                                     
=> #<Relationship:0x00007f7de512cec8 id: 1, follower_id: 1, followed_id: 2, created_at: Fri, 21 Apr 2023 14:59:00.445063000 UTC +00:00, updated_at: Fri, 21 Apr 2023 14:59:00.445063000 UTC +00:00>

②先ほどの演習を終えたら、active_relationship.followedの値とactive_relationship.followerの値を確認し、それぞれの値が正しいことを確認してみましょう。
(解答)正しい

irb(main):009:0> user.active_relationships
  Relationship Load (0.4ms)  SELECT "relationships".* FROM "relationships" WHERE "relationships"."follower_id" = ?  [["follower_id", 1]]
=> [#<Relationship:0x00007f7de512cec8 id: 1, follower_id: 1, followed_id: 2, created_at: Fri, 21 Apr 2023 14:59:00.445063000 UTC +00:00, updated_at: Fri, 21 Apr 2023 14:59:00.445063000 UTC +00:00>]

14.1.3

①リスト 14.5のバリデーションをコメントアウトしても、テストが成功したままになっていることを確認してみましょう。（以前のRailsのバージョンでは、このバリデーションが必須でしたが、Rails 5以降は必須ではなくなりました。ここでは念のためこのバリデーションを省略していませんが、このバリデーションが省略されているのを見かけるかもしれないので、覚えておくと良いでしょう。）
(解答) 飛ばします。

14.1.4

①コンソールを開き、リスト 14.9のコードを順々に実行してみましょう。
(解答)①②合わせて解答

②先ほどの演習の各コマンド実行時の結果を見返してみて、実際にはどんなSQLが出力されたのか確認してみましょう。
(解答)

irb(main):001:0> user = User.second
  User Load (2.2ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ? OFFSET ?  [["LIMIT", 1], ["OFFSET", 1]]
=>                                                                         
#<User:0x00007f445f438f00                                                  
...                                                                        
irb(main):002:0> other_user = User.third
  User Load (0.4ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ? OFFSET ?  [["LIMIT", 1], ["OFFSET", 2]]
=>                                                                           
#<User:0x00007f445f32ad98                                                    
...                 
irb(main):003:0> user.following?(other_user)
  User Exists? (1.2ms)  SELECT 1 AS one FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."followed_id" WHERE "relationships"."follower_id" = ? AND "users"."id" = ? LIMIT ?  [["follower_id", 2], ["id", 3], ["LIMIT", 1]]
=> false                                                                     
irb(main):004:0> user.follow(other_user)
  TRANSACTION (0.6ms)  begin transaction
  User Load (0.2ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 2], ["LIMIT", 1]]
  Relationship Create (53.3ms)  INSERT INTO "relationships" ("follower_id", "followed_id", "created_at", "updated_at") VALUES (?, ?, ?, ?)  [["follower_id", 2], ["followed_id", 3], ["created_at", "2023-04-22 02:03:25.103881"], ["updated_at", "2023-04-22 02:03:25.103881"]]                                                            
  TRANSACTION (14.5ms)  commit transaction                                   
  User Load (0.5ms)  SELECT "users".* FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."followed_id" WHERE "relationships"."follower_id" = ?  [["follower_id", 2]]
=>                                                                           
[#<User:0x00007f445f32ad98                                                 
  id: 3,                                                                   
  name: "Walker Lindgren",                                                 
  email: "example-2@railstutorial.org",                                    
  created_at: Thu, 20 Apr 2023 11:37:02.392632000 UTC +00:00,              
  updated_at: Thu, 20 Apr 2023 11:37:02.392632000 UTC +00:00,              
  password_digest: "[FILTERED]",                                           
  remember_digest: nil,                                                    
  admin: false,
  activation_digest: "$2a$12$UAinDn/X6ZmPb/RsLTPQpuGyKsXOrSy4rO6IHCk/ddD06WF2ohmgq",
  activated: true,
  activated_at: Thu, 20 Apr 2023 11:37:02.138438000 UTC +00:00,
  reset_digest: nil,
  reset_sent_at: nil>]
irb(main):005:0> user.following?(other_user)
=> true
irb(main):006:0> user.unfollow(other_user)
  TRANSACTION (4.0ms)  begin transaction
  Relationship Delete All (12.5ms)  DELETE FROM "relationships" WHERE "relationships"."follower_id" = ? AND "relationships"."followed_id" = ?  [["follower_id", 2], ["followed_id", 3]]
  TRANSACTION (13.4ms)  commit transaction                                 
=>                                                                         
[#<User:0x00007f445f32ad98                                                 
  id: 3,                                                                   
  name: "Walker Lindgren",                                                 
  email: "example-2@railstutorial.org",                                    
  created_at: Thu, 20 Apr 2023 11:37:02.392632000 UTC +00:00,              
  updated_at: Thu, 20 Apr 2023 11:37:02.392632000 UTC +00:00,              
  password_digest: "[FILTERED]",                                           
  remember_digest: nil,                                                    
  admin: false,                                                            
  activation_digest: "$2a$12$UAinDn/X6ZmPb/RsLTPQpuGyKsXOrSy4rO6IHCk/ddD06WF2ohmgq",
  activated: true,                                                         
  activated_at: Thu, 20 Apr 2023 11:37:02.138438000 UTC +00:00,
  reset_digest: nil,
  reset_sent_at: nil>]
irb(main):007:0> user.following?(other_user)
=> false
irb(main):008:0> user.follow(user)
=> nil
irb(main):009:0> user.following?(user)
=> false

14.1.5

①コンソールを開き、何人かのユーザーが最初のユーザーをフォローしている状況を作ってみてください。最初のユーザーをuserとすると、user.followers.map(&:id)の値はどのようになっているでしょうか?
(解答)

irb(main):004:0> user_2.follow(user)
  TRANSACTION (0.1ms)  begin transaction
  User Load (0.3ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 2], ["LIMIT", 1]]
  Relationship Create (23.9ms)  INSERT INTO "relationships" ("follower_id", "followed_id", "created_at", "updated_at") VALUES (?, ?, ?, ?)  [["follower_id", 2], ["followed_id", 1], ["created_at", "2023-04-22 02:13:50.728684"], ["updated_at", "2023-04-22 02:13:50.728684"]]                                                             
  TRANSACTION (23.9ms)  commit transaction                                    
  User Load (0.4ms)  SELECT "users".* FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."followed_id" WHERE "relationships"."follower_id" = ?  [["follower_id", 2]]
=>                                                                            
[#<User:0x00007f9046bedd30                                                    
  id: 1,                                                                      
  name: "Example User",                                                       
  email: "example@railstutorial.org",                                         
  created_at: Thu, 20 Apr 2023 11:37:00.512405000 UTC +00:00,                 
  updated_at: Thu, 20 Apr 2023 13:05:51.230122000 UTC +00:00,                 
  password_digest: "[FILTERED]",                                              
  remember_digest: "$2a$12$kGwCwjO5pzAkENniN.5WM.JYJySA36du6FdeLif1aUu.CfZ7D2zgy",
  admin: true,
  activated: true,
  activated_at: Thu, 20 Apr 2023 11:37:00.235450000 UTC +00:00,
  reset_digest: nil,
  reset_sent_at: nil>]
irb(main):005:0> user_3.follow(user)
  TRANSACTION (0.2ms)  begin transaction
  User Load (0.3ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 3], ["LIMIT", 1]]
  Relationship Create (2.0ms)  INSERT INTO "relationships" ("follower_id", "followed_id", "created_at", "updated_at") VALUES (?, ?, ?, ?)  [["follower_id", 3], ["followed_id", 1], ["created_at", "2023-04-22 02:14:01.600044"], ["updated_at", "2023-04-22 02:14:01.600044"]]
  TRANSACTION (14.1ms)  commit transaction
  User Load (0.4ms)  SELECT "users".* FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."followed_id" WHERE "relationships"."follower_id" = ?  [["follower_id", 3]]
=> 
[#<User:0x00007f9046bedd30
  id: 1,
  name: "Example User",
  email: "example@railstutorial.org",
  created_at: Thu, 20 Apr 2023 11:37:00.512405000 UTC +00:00,
  updated_at: Thu, 20 Apr 2023 13:05:51.230122000 UTC +00:00,
  password_digest: "[FILTERED]",
  remember_digest: "$2a$12$kGwCwjO5pzAkENniN.5WM.JYJySA36du6FdeLif1aUu.CfZ7D2zgy",
  admin: true,
  activation_digest: "$2a$12$YzmHowrQGG3J3BEaIPkU8uTQaelLF5edsPAHId6kYykM1fPSO8EQW",
  activated: true,
  activated_at: Thu, 20 Apr 2023 11:37:00.235450000 UTC +00:00,
  reset_digest: nil,
  reset_sent_at: nil>]
irb(main):006:0> user.followers.map(&:id)
  User Load (0.5ms)  SELECT "users".* FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."follower_id" WHERE "relationships"."followed_id" = ?  [["followed_id", 1]]
=> [2, 3]

②上の演習が終わったら、user.followers.countの実行結果が、先ほどフォローさせたユーザー数と一致していることを確認してみましょう。
(解答) 一致している。

irb(main):008:0> user.followers.count
  User Count (0.5ms)  SELECT COUNT(*) FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."follower_id" WHERE "relationships"."followed_id" = ?  [["followed_id", 1]]
=> 2  

③user.followers.countを実行した結果、出力されるSQL文はどのような内容になっているでしょうか? また、user.followers.to_a.countの実行結果と違っている箇所はありますか?（ヒント: もしuserに100万人のフォロワーがいた場合、どのような違いがあるでしょうか? 考えてみてください。）
(解答) SQL文は②に記載。"users" INNER JOIN "relationships" ON "users"."id" = "relationships"."follower_id"の部分はusersテーブルのidとrelationshipsテーブルのfollower_idが共通しており、その部分の情報からwhereメソッドでfollower_idの行のみを 抽出してcountを返すため高速。user.followers.to_a.countは全フォロワーを取得しそれを配列に変換して、そのカウントを取るから莫大なデータ量になると当然遅くなるはず。

14.2.1

①コンソールを開いて、User.first.followers.countの結果がリスト 14.14で期待される結果と一致していることを確認してみましょう。
(解答)

irb(main):001:0> User.first.followers.count
  User Load (1.1ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ?  [["LIMIT", 1]]
  User Count (1.0ms)  SELECT COUNT(*) FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."follower_id" WHERE "relationships"."followed_id" = ?  [["followed_id", 1]]
=> 38

②上の演習と同様に、User.first.following.countの結果も一致していることを確認してみましょう。
(解答)

irb(main):002:0> User.first.following.count
  User Load (0.4ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ?  [["LIMIT", 1]]
  User Count (2.1ms)  SELECT COUNT(*) FROM "users" INNER JOIN "relationships" ON "users"."id" = "relationships"."followed_id" WHERE "relationships"."follower_id" = ?  [["follower_id", 1]]
=> 49

14.2.2

①ブラウザから/users/2にアクセスし、フォローボタンが表示されていることを確認してみましょう。同様に、/users/5では［Unfollow］ボタンが表示されているはずです。さて、/users/1にアクセスすると、どのような結果が表示されるでしょうか?
(解答)それぞれフォローボタン、アンフォローボタンが表示される。自分自身には何も表示されない。

②ブラウザからHomeページとプロフィールページを表示してみて、統計情報が正しく表示されているか確認してみましょう。
(解答) どちらも正しく表示されている。

③Homeページに表示されている統計情報に対してテストを書いてみましょう。同様にして、プロフィールページにもテストを追加してみましょう。（ヒント: リスト 13.29で示したテストに追加してみてください。）
(解答)assert_matchでfollowing.count.to_sとfollowers.count.to_sがあることを確認。

Homeページのレイアウトテスト

[test/integration/site_layout_test.rb]
  test "root path layout links with logged in user" do
    log_in_as(@user)
    get root_path
    assert_template 'static_pages/home'
    assert_select "a[href=?]", root_path, count: 2
    assert_select "a[href=?]", help_path
    assert_select "a[href=?]", about_path
    assert_select "a[href=?]", contact_path
    assert_select "a[href=?]", users_path
    assert_select "a[href=?]", user_path(@user)
    assert_select "a[href=?]", edit_user_path(@user)
    assert_select "a[href=?]", logout_path
    assert_match @user.following.count.to_s, response.body
    assert_match @user.followers.count.to_s, response.body

  end

プロフィールページのテスト

  test "profile display" do
    get user_path(@user)
    assert_template 'users/show'
    assert_select 'title', full_title(@user.name)
    assert_select 'h1', text: @user.name
    assert_select 'h1>img.gravatar'
    assert_match @user.microposts.count.to_s, response.body
    assert_select 'div.pagination',    count: 1
    @user.microposts.paginate(page: 1).each do |micropost|
      assert_match micropost.content, response.body
    end
    assert_match @user.following.count.to_s, response.body
    assert_match @user.followers.count.to_s, response.body
  end

14.2.3

①ブラウザで/users/1/followersと/users/1/followingを開き、それぞれが適切に表示されていることを確認してみましょう。サイドバーにある画像のリンクが正常に機能していることも確認してみましょう。
(解答) 画像リンクも含めて正しく動作している。

②リスト 14.29のassert_selectのテストが正しく動作することを、関連するアプリケーションのコードをコメントアウトして確認してみましょう。
(解答) この演習は少し手間取りました。実際のfollwingなどのページを見ると分かりやすいのですが、assert_select "a[href=?]", user_path(user)にマッチする部分は、gravatarで表示される画像部分(link_to gravatar)とユーザー一覧が表示される部分( render @users)と２つあるので、該当する箇所を２箇所コメントアウトする必要があります。

<% provide(:title, @title) %>
<div class="row">
  <aside class="col-md-4">
    <section class="user_info">
      <%= gravatar_for @user %>
      <h1><%= @user.name %></h1>
      <span><%= link_to "view my profile", @user %></span>
      <span><strong>Microposts:</strong> <%= @user.microposts.count %></span>
    </section>
    <section class="stats">
      <%= render 'shared/stats' %>
      <% if @users.any? %>
        <div class="user_avatars">
          <% @users.each do |user| %>
            <%#= link_to gravatar_for(user, size: 30), user %>
          <% end %>
        </div>
      <% end %>
    </section>
  </aside>
  <div class="col-md-8">
    <h3><%= @title %></h3>
    <% if @users.any? %>
      <ul class="users follow">
        <%#= render @users %>
      </ul>
      <%= will_paginate %>
    <% end %>
  </div>
</div>

これでREDになる。

 FAIL FollowPagesTest#test_followers_page (8.32s)
        Expected at least 1 element matching "a[href="/users/409608538"]", found 0..
        Expected 0 to be >= 1.
        test/integration/following_test.rb:29:in `block (2 levels) in <class:FollowPagesTest>'
        test/integration/following_test.rb:28:in `block in <class:FollowPagesTest>'

 FAIL FollowPagesTest#test_following_page (8.48s)
        Expected at least 1 element matching "a[href="/users/409608538"]", found 0..
        Expected 0 to be >= 1.
        test/integration/following_test.rb:19:in `block (2 levels) in <class:FollowPagesTest>'
        test/integration/following_test.rb:18:in `block in <class:FollowPagesTest>'

14.2.4

①ブラウザ上から/users/2を開き、［Follow］と［Unfollow］を実行してみましょう。うまく機能しているでしょうか?
(解答)機能している。

②先ほどの演習を終えたら、Railsサーバーのログを見てみましょう。フォロー/フォロー解除が実行されると、それぞれどのテンプレートが描画されているでしょうか?
(解答)まず、どちらも共通でshow.html.erbでその中のfollow_formパーシャルのif-else分岐がおこなわれる。フォローすると、if current_user.following?(@user)がtrueなので、render 'unfollow'。フォロー解除すると、if current_user.following?(@user)がelseなので、render 'follow'となる。

14.2.5

①フォロー機能やフォロー解除機能を「標準の方法」または「Turboによる方法」で実現する方法の違いは、Turboは標準の方法よりもサーバーリクエストが1回多いという点しかありません。このため、Turboが確実に動作しているかどうかを判定するのが難しくなることがあります。リスト 14.35およびリスト 14.36にあるフォロワー数の後ろに一時的に「Turbo利用中」という文字を追加し、次に［Follow］ボタンや［Unfollow］ボタンをクリックして、Turboのテンプレートが確実にレンダリングすることを確認してみてください。確認が終わったら元に戻しておきましょう。
(解答) 確かにTurbo利用中と表示された。

14.3.1

①マイクロポストのidが数字の小さい順に並び、数字が大きいほど新しいと仮定すると、図 14.22のデータセットでuser.feed.map(&:id)を実行すると、どのような結果が表示されるでしょうか? 考えてみてください。（ヒント: 13.1.4の実装で使ったdefault_scopeを思い出してください。）
(解答) default_scope -> { order(created_at: :desc) }としているため、マイクロポストの作成日時が新しい順（この例だとマイクロポストのidが大きい方から）に並ぶ。

14.3.2

①リスト 14.41において、現在のユーザー自身の投稿を含めないようにするにはどうすれば良いでしょうか? また、そのような変更を加えると、リスト 14.39のどのテストが失敗するでしょうか?
(解答) Micropost.where("user_id IN (?)", following_ids)のみを記述。ユーザー自身の投稿が入らないため以下の部分がRED。

    michael.microposts.each do |post_self|
      assert michael.feed.include?(post_self)
    end

②リスト 14.41において、フォローしているユーザーの投稿を含めないようにするにはどうすれば良いでしょうか? また、そのような変更を加えると、リスト 14.39のどのテストが失敗するでしょうか?
(解答)Micropost.where("user_id = ?", id)のみを記述。フォローしているユーザーの投稿が入らないため以下の部分がRED。

    lana.microposts.each do |post_following|
      assert michael.feed.include?(post_following)

③リスト 14.41において、フォローしていないユーザーの投稿を含めるためにはどうすれば良いでしょうか? また、そのような変更を加えると、リスト 14.39のどのテストが失敗するでしょうか?（ヒント: 自分自身とフォローしているユーザー、そしてそれ以外という集合は、いったいどういった集合を表すのか考えてみてください。）
(解答)Micropost.allでマイクロポストの全ての集合となる。フォローしていないユーザーも入るため以下の部分がRED。

    archer.microposts.each do |post_unfollowed|
      assert_not michael.feed.include?(post_unfollowed)

14.3.3

①Homeページで表示される1ページ目のフィードに対して、統合テストを書いてみましょう。リスト 14.49はそのテンプレートです。
(解答)

  test "feed on Home page" do
    get root_path
    @user.feed.paginate(page: 1).each do |micropost|
      assert_match CGI.escapeHTML(micropost.content), response.body
    end
  end

②リスト 14.49のコードでは、期待されるHTMLをCGI.escapeHTMLメソッドでエスケープしています（このメソッドは11.2.3で扱ったCGI.escapeと密接に関連します）。このコードでHTMLをエスケープする必要がある理由を考えてみてください。（ヒント: 試しにエスケープ処理を削除して、得られるHTMLのソースコードと一致しないマイクロポストのコンテンツがないかどうか、注意深く調べてみてください。また、ターミナルの検索機能Cmd-FもしくはCtrl-Fで「sorry」を検索すると、原因の究明に役立つでしょう。）
(解答)CGIエスケープしないとI'm sorryのようなエスケープされていない文字列が引っかかっる。

③リスト 14.44のコードは、実はRailsのleft_outer_joinsメソッドを使うと、いわゆるLEFT OUTER JOINで直接表現できます。リスト 14.50のコード23 を適用してテストを実行し、このコードが返すフィードがテストでパスすることを確かめてみましょう。 残念ながら、テストがパスするにもかかわらず、実際のフィードにはユーザー自身のマイクロポストがいくつも重複表示されている（図 14.25）24 ので、次はリスト 14.51のテストを使ってこのエラーをキャッチしてください。このテストで使っているdistinctは、コレクション内の要素を重複抜きで返します。エラーをキャッチできたら、クエリにdistinctメソッドを追加したコード（リスト 14.52）に置き換えるとテストが green になることを確かめてください。次は、生成されたSQLを直接調べて、DISTINCTという語がクエリ自身に含まれていることを確認してください。これは、DISTINCTを指定した要素がアプリケーションのメモリ上ではなく、データベース上で効率よくSELECTされていることを示しています。（ヒント: SQLを直接調べるには、RailsコンソールでUser.first.feedを実行します。）
(解答)SELECT DISTINCTというSQLが含まれていた。

irb(main):002:0> User.first.feed.paginate(page: 1)
  User Load (0.3ms)  SELECT "users".* FROM "users" ORDER BY "users"."id" ASC LIMIT ?  [["LIMIT", 1]]
  Micropost Load (2.5ms)  SELECT DISTINCT "microposts".* FROM "microposts" LEFT OUTER JOIN "users" ON "users"."id" = "microposts"."user_id" LEFT OUTER JOIN "relationships" ON "relationships"."followed_id" = "users"."id" LEFT OUTER JOIN "users" "followers_users" ON "followers_users"."id" = "relationships"."follower_id" WHERE (relationships.follower_id = 1 or microposts.user_id = 1) ORDER BY "microposts"."created_at" DESC LIMIT ? OFFSET ?  [["LIMIT", 30], ["OFFSET", 0]] 

第１４章ーまとめー

• has_manyでは指定した名称からモデルとの関連付けをおこなう(:micropostであればMicropostモデル)。belongs_toでは自動的に外部キーを生成する（:userであればuser_id）。これらが実際に紐づけたいものが異なる場合は、明示的に指定する必要がある。
• has_many throughで中間のモデルを経由した関連付けが可能となる。
• ユーザーのフォロー／フォローの解除はリレーションシップ（関係性）の作成／削除に該当する。
• ルーティングはmemberメソッドやcollectionメソッドでネストさせることが出来る。
• サブセレクトを活用することでSQLクエリの高速化を実現できる。
• eager loadingによって１件のSQLクエリに複数のクエリを含めることによって、N+1クエリ問題を回避できる。

ちゃんと理解を深めた完走を達成出来ました。このブログでは、特に理解が難しかったところは紐解いておくようにしたので、今後同じようなロジックの部分で止まったときも自分なりに分かるように書いてあるリファレンスとして活用出来ると思います。

第１４章、Ruby on Railsチュートリアルはこれにて終わり🐻

Railsチュートリアルの第１２章を進めていきます。

第１２章（パスワードの再設定）

• 第１２章（パスワードの再設定）
  • PasswordResetsリソース
    • パスワード再設定のcreateアクション
  • パスワード再設定のメール送信
  • パスワードを再設定
    • 隠しフィールド
      • f.hidden_fieldとhidden_field_tagについて
    • updateアクション
• 第１２章ー演習ー
  • 12.1.1
  • 12.1.2
  • 12.1.3
  • 12.2.1
  • 12.2.2
  • 12.3.1
  • 12.3.2
  • 12.3.3
  • 12.4
• 第１２章ーまとめー

PasswordResetsリソース

基本的にはアカウント有効化の流れと同じ。

同様な部分
パスワード再設定用のトークンを含めたメールを送信し、そのリンクをクリックするとデータベース内のパスワード再設定ダイジェストとトークンを比較し認証に成功したら、パスワードが変更可能となる。

異なる部分
パスワード再設定用のフォーム（ビュー）やモデル内のパスワードを変更するためのフォームが必要。
パスワード再設定用のリンクにはなるべく短時間の有効期限を設ける必要がある。

パスワード再設定を加えたモデル

パスワード再設定のcreateアクション

ユーザーが再設定用のフォームからPOSTした際の動作。

1. postされたメールアドレス（params[:password_reset][:email]）を元にユーザーを検索。
2. そのユーザーが存在すれば、再設定用ダイジェストを作成。
3. リセット用のメールを送信。
4. フラッシュメッセージを表示し、rootへリダイレクト。

パスワード再設定のメール送信

再設定メールようのメーラーとテンプレートはほとんどアカウントの有効化と同一。
メーラーの単体テストの内容もアカウント有効化と同じ。

パスワードを再設定

隠しフィールド

editアクションに対するメールアドレス入りのリンクがあるため、editアクションではユーザー検索のためのkeyとしてメールアドレスを使用出来る。しかし、updateアクションでも必要なためどこかに保持しておく必要がある。
隠しフィールドとしてビューの中に埋め込むことでメールアドレスの情報も保持される。

 <%= hidden_field_tag :email, @user.email %>

f.hidden_fieldとhidden_field_tagについて

この２つの使い分けがいまいち分かりにくかったので、以下のサイトを参考にしました。
f.hidden_fieldは、form_forやform_withで使用され、モデルのインスタンスに対する属性と値を隠しフィールドとして渡している。モデルにネストしているためパラメータはparams[:user][:email]のようにネストしたハッシュになる。
対して、hidden_field_tagはモデルに対して渡している訳ではなく、単にkeyとvalueの形で各フィールドに値を埋め込んでいる。モデルにネストしていないため、パラメータはparams[:email]のようになる。

sakurawi.hateblo.jp

updateアクション

パスワードのupdateではいくつか考慮する事項がある。以下はその事項と対策。

1. パスワード再設定の有効期限 　⇒ before_action :check_expiration, only: [:edit, :update]で有効期限を確認するcheck_expirationメソッドを定義し、有効期限をチェック。
2. 無効なパスワードは失敗させる 　⇒ 失敗時の動作としてeditビューの再描画とエラーメッセージを表示させる。
3. 新規パスワードと確認欄が空文字列でないか 　⇒ モデルに対してallow_nilオプションを付けているため、パスワードと確認フィールド両方が空文字の場合に素通りするため、errors.addでエラーメッセージを追加出来る。
4. 新規パスワードが問題無ければ更新 　⇒ 成功時のパスワードを更新し、ログイン＋メッセージ表示＋リダイレクト処理。更新可能なパラメータはStrong Parametersで指定。

[app/controllers/password_resets_controller.rb]
  def update
    if params[:user][:password].empty?                  # （3）への対応
      @user.errors.add(:password, :blank)
      render 'edit', status: :unprocessable_entity
    elsif @user.update(user_params)                     # （4）への対応
      @user.forget                                     　　　 # セッションハイジャックの対応として、記憶トークンを無効化する。
      reset_session
      log_in @user
      @user.update_attribute(:reset_digest, nil)　#再設定後にリセットダイジェストを悪用されないようにnilにしておく。
      flash[:success] = "Password has been reset."
      redirect_to @user
    else
      render 'edit', status: :unprocessable_entity      # （2）への対応
    end
  end

  private

    def user_params
      params.require(:user).permit(:password, :password_confirmation)
    end

更に、演習より、 update後は@user.forgetをすることで、記憶トークンを削除しておき、セッションハイジャックから保護しておく。また、update後にリセットダイジェストをnilへ更新しておくことで、例えば公共のパソコン等でパスワードを変更し終えた後に第三者が更にそのリセットダイジェストを使用してパスワードを更新するような事態を防ぐことが出来る。

第１２章ー演習ー

12.1.1

①この時点で、テストスイートが green になっていることを確認してみましょう。
(解答) greenになっている。

②表 12.1の名前付きルーティングでは、pathではなくurlを使っているのはなぜでしょうか？理由を考えてみましょう。（ヒント: アカウント有効化の演習11.1.1.1と同じ理由です。）
(解答) railsアプリケーションの外部からアクセスするため、相対パスでは無く絶対パスで示す必要がある。

12.1.2

①リスト 12.4のform_withメソッドで、@password_resetではなく:password_resetを使っている理由を考えてみましょう。
(解答) セッションと同様に、password_resetモデルが無いため@password_resetというインスタンス変数は存在しない。そのためscope: :password_resetとリソースを明示的に渡す必要がある。

12.1.3

①試しに有効なメールアドレスをフォームで送信してみましょう（図 12.6）。どんなエラーメッセージが表示されますか?
(解答)以下のエラーが発生。
ArgumentError in PasswordResetsController#create wrong number of arguments (given 1, expected 0)

  end

  def password_reset
    @greeting = "Hi"

    mail to: "to@example.org"

②上の演習課題で送信した結果はエラーと表示されますが、該当するuserオブジェクトにはreset_digestとreset_sent_atが存在することをコンソールで確認してみましょう。それぞれの値はどのようになっていますか?
(解答) 生成されている。

 UPDATE "users" SET "updated_at" = ?, "reset_digest" = ? WHERE "users"."id" = ?  [["updated_at", "2023-04-20 04:09:10.810101"], ["reset_digest", "$2a$12$.9wbuYMbGDKnQ5HBOF/TneJ89rYsEl/Cgfrmow5Tj5W9765acgNwC"], ["id", 1]]

UPDATE "users" SET "updated_at" = ?, "reset_sent_at" = ? WHERE "users"."id" = ?  [["updated_at", "2023-04-20 04:09:10.829845"], ["reset_sent_at", "2023-04-20 04:09:10.829189"], ["id", 1]]
  ↳ app/models/user.rb:65:in `create_reset_digest'

12.2.1

①送信メールをブラウザでプレビューしてみましょう。「Date」フィールドにはどんな情報が表示されていますか?
(解答) 現在の日時

②パスワード再設定フォームで有効なメールアドレスを送信してみましょう。また、Railsサーバーのログを見て、生成された送信メールの内容を確認してみてください。
(解答) ちゃんとパスワードリセットトークン付きのリンクが入ったメールが送信されている。

<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <style>
      /* Email styles need to be inline */
    </style>
  </head>

  <body>
    <h1>Password reset</h1>

<p>To reset your password click the link below:</p>

<a href="http://localhost:3000/password_resets/LkGibqRrg1irrOK-_4Mzgw/edit?email=example%40railstutorial.org">Reset password</a>

<p>This link will expire in two hours.</p>

<p>
If you did not request your password to be reset, please ignore this email and
your password will stay as it is.
</p>
  </body>
</html>

③Railsコンソールを開いて、上の演習課題でパスワードを再設定したUserオブジェクトを探してください。オブジェクトを見つけたら、そのオブジェクトが持つreset_digestとreset_sent_atの値を確認してみましょう。
(解答)

irb(main):002:0> user.reset_digest
=> "$2a$12$V3IiQHXoGECfW32djzItYuvSclU87pwi8U3CjxxNdOB8gwWHPTYC."
irb(main):003:0> user.reset_sent_at
=> Thu, 20 Apr 2023 05:45:21.365272000 UTC +00:00

12.2.2

①メーラーのテストだけを実行してみてください。このテストは green になりますか?
(解答)green。

②リスト 12.12にある2つ目のCGI.escapeメソッドを削除すると、テストが red になることを確認してみましょう。
(解答)エスケープを外すとredになる。

12.3.1

①演習12.2.1.1で示した手順に従って、Railsサーバーのログから送信メールを探し出し、そこに記されているパスワード再設定用リンクを見つけてください。そのリンクをブラウザで表示すると、図 12.11のようになることを確かめてみましょう。
(解答) ちゃんと表示された。

②上で表示したページから、実際に新しいパスワードを送信してみましょう。どのような結果になりましたか?
(解答) 更新されない。

12.3.2

①演習12.2.1.1でRailsサーバーのログから取得できるリンクをブラウザで表示し、passwordフィールドとconfirmationフィールドの文字列をわざと間違えて送信してみましょう。どんなエラーメッセージが表示されますか?
(解答)Password confirmation doesn't match Password

②Railsコンソールを開いて、パスワード再設定を送信したユーザーオブジェクトを見つけてください。見つかったら、そのオブジェクトのpassword_digestの値を取得してみましょう。次に、パスワード再設定フォームから有効なパスワードを入力し、送信してみましょう（図 12.13）。パスワードの再設定が成功したら、再度password_digestの値を取得し、先ほど取得した値と変わっていることを確認してみましょう。（ヒント: 新しい値はuser.reloadを実行してから取得する必要があります。）
(解答)確かに変わっている。
変更前

irb(main):002:0> user.password_digest
=> "$2a$12$kmhU7VMMV.L73dSn7G723eYos1Szqs/2Bgy2eLIK5RJ8ryTU3Aiam"

変更後

irb(main):003:0> user.reload.password_digest
  User Load (44.7ms)  SELECT "users".* FROM "users" WHERE "users"."id" = ? LIMIT ?  [["id", 1], ["LIMIT", 1]]
=> "$2a$12$zntqk4ZU1p3Rez.2884l3.Llp2d4GWeFZkiK1c.SaNUEoL6s9xXvO"     

③演習9.3.2.1では、セッションハイジャック（9.1.1）から保護するためのセッショントークンを実装しました。想定されるシナリオの1つとして「セッションを盗まれたことに気づいたユーザーが即座にパスワードをリセットする」という状況が考えられます。特に、ハイジャックされたセッションをこの操作で自動的に失効させることができたら素晴らしいでしょう。この機能を実現するのに必要なコードをリスト 12.18の（コードを書き込む）の部分に書いてください。（ヒント: リスト 9.37で、記憶ダイジェストをセッショントークンとして再利用したこと、Userモデルにはリスト 9.11で示した記憶トークンを削除するメソッドが既にあることを思い出しましょう。）
(解答)

[app/controllers/password_resets_controller.rb]
  def update
    if params[:user][:password].empty?                  # （3）への対応
      @user.errors.add(:password, :blank)
      render 'edit', status: :unprocessable_entity
    elsif @user.update(user_params)                     # （4）への対応
      @user.forget                                      # セッションハイジャックの対応として、記憶トークンを無効化する。
      reset_session
      log_in @user
      flash[:success] = "Password has been reset."
      redirect_to @user
    else
      render 'edit', status: :unprocessable_entity      # （2）への対応
    end
  end

12.3.3

①リスト 12.6にあるcreate_reset_digestメソッドはupdate_attributeを2回呼び出していますが、これは各行で1回ずつデータベースへ問い合わせしていることになります。リスト 12.21に記したテンプレートを使って、update_attributeの呼び出しを1回のupdate_columns呼び出しにまとめてみましょう。これでデータベースへの問い合わせが1回で済むようになります。また、変更後にテストを実行し、 green になることも確認してください。ちなみにリスト 12.21にあるコードには、前章の演習（リスト 11.40）の解答も含まれています。（注: update_columnsはバリデーションが実行されない上、update_attributeと異なりモデルのコールバックも行われないため、本チュートリアル以外で使用する際は注意が必要です。）
(解答)

  def create_reset_digest
    self.reset_token = User.new_token
    update_columns(reset_digest:  User.digest(reset_token), reset_sent_at: Time.zone.now)
  end

②リスト 12.22のテンプレートを埋めて、期限切れのパスワード再設定で発生する分岐（リスト 12.16）を統合テストでカバーしてみましょう。リスト 12.22 のコードにあるresponse.bodyは、そのページのHTML本文をすべて返すメソッドです。期限切れをテストする方法はいくつかありますが、リスト 12.22でオススメした手法を使えば、レスポンスの本文に「expired」という語があるかどうかでチェックできます（なお、大文字と小文字は区別されません）。
(解答)

  test "should include the word 'expired' on the password-reset page" do
    follow_redirect!
    assert_match /expired/i, response.body
  end

③2時間経過するとパスワードを再設定できないようにする機能はセキュリティ的に好ましい手法ですが、公共の場所に設置されているコンピュータや、複数のユーザーが共有するコンピュータが使われる可能性も考慮すれば、より安全性の高いセキュリティ対策にするのが望ましいでしょう。公共の場所で共有されるコンピュータの多くは誰でもログインできるので、あるユーザーがそのコンピュータから離席するときに正しくログアウトしていたとしても、別のユーザーが2時間以内にそのコンピューターにログインし、ブラウザの「戻る」ボタンを数回押してパスワード再設定フォームを見つけたら、パスワード更新に成功してしまう可能性があり、しかもそのままログインされてしまいます。この問題を解決するために、リスト 12.23のコードを追加し、パスワードの再設定に成功したらダイジェストをnilになるように変更してみましょう6 。 リスト 12.19に1行追加し、上の演習課題に対するテストを書いてみましょう。（ヒント: リスト 9.26のassert_nilメソッドとリスト 11.34のuser.reloadメソッドを組み合わせて、reset_digest属性を直接テストしてみましょう。）
(解答)assert_nil @reset_user.reload.reset_digestを追加。updateアクションの@user.update_attribute(:reset_digest, nil)をコメントアウトするとテストREDとなるため、正しく機能している。

  test "update with valid password and confirmation" do
    patch password_reset_path(@reset_user.reset_token),
          params: { email: @reset_user.email,
                    user: { password:              "foobaz",
                            password_confirmation: "foobaz" } }
    assert is_logged_in?
    assert_not flash.empty?
    assert_redirected_to @reset_user
    assert_nil @reset_user.reload.reset_digest
  end

12.4

①production環境でユーザー登録を試してみましょう。ユーザー登録時に入力したメールアドレスにメールが届きましたか?
②メールを受信できたら、実際にメール内のリンクをクリックしてアカウントを有効化してみましょう。また、Render上のログを表示して、有効化に関するログを詳しく調べてみてください。
③アカウントを有効化できたら、今度はパスワードの再設定を試してみましょう。正常にパスワードを再設定できましたか?
飛ばします。

第１２章ーまとめー

• パスワード再設定はアカウント有効化と同様でリソース化できる。
• パスワード再設定のリンクには短時間（２時間程度）の有効期限を設ける。
• f.hidden_fieldはモデルと紐づけた隠しフィールドとして機能し、hidden_field_tagはモデルと紐づいていない隠しフィールドとして機能する。
• errors_addで引数のエラーが発生した場合のエラーメッセージの動作を追加出来る。
• パスワードの再設定に成功（update）した場合のアクションには、セッションハイジャックを防止するために記憶トークンを削除しておくことや、第三者が有効期限の切れていないリセットダイジェストから再度パスワード変更するような状況を防ぐためにリセットダイジェストを削除しておくことも重要。

第１２章終わり🐻

Railsチュートリアルの第１０章を進めていきます。

第１０章（ユーザーの更新・表示・削除）

• 第１０章（ユーザーの更新・表示・削除）
  • ユーザーを更新
    • editアクション
    • target="_barank"の問題
    • updateアクション
    • 編集に対するテスト
      • 編集失敗時のテスト
      • 編集成功時のテスト
  • 認可
    • beforeフィルター
    • 正しいユーザーを要求する動作
    • フレンドリーフォワーディング
  • すべてのユーザーを表示
    • indexアクションの実装
    • サンプルユーザーの追加
    • ページネーション
    • パーシャルのリファクタリング
  • ユーザーの削除
    • adminユーザー
    • destroyアクション
    • ユーザー削除のテスト
• 第１０章ー演習ー
  • 10.1.1
  • 10.1.2
  • 10.1.3
  • 10.1.4
  • 10.2.1
  • 10.2.2
  • 10.2.3
  • 10.3.1
  • 10.3.2
  • 10.3.3
  • 10.3.4
  • 10.3.5
  • 10.4.1
  • 10.4.2
  • 10.4.3
• 第１０章ーまとめー

ユーザーを更新

RESTアクションのeditアクション、updateアクションを実装する。

editアクション

• showアクションと一緒で、変数@userにparams[:id]で取り出したidで探したuserを入れる。
  
• editアクションのviewは新規ユーザー登録のものとほぼ同一。
  
• form_withメソッドは新規ユーザー登録のPOSTアクションと、ユーザー編集のPATCHアクションと同一。Railsはデータベースの既存のユーザーかどうかをnew_record?理論値メソッドで区別し、新規データならPOSTアクション、既存データならPATCHアクションとしている。
  
• editの名前付きルーティングはedit_user_path(current_user)で、ログインしているuserを返すcurrent_userメソッドと組み合わせることで表現可能。
  

target="_barank"の問題

target="_barank"はリンクをクリックした際に新しいタブで開く機能。
リンク先のページがオリジナルなページにアクセス出来る危険性があり、例えばフィッシングサイトのような偽のコンテンツへアクセスする可能性がある（ターゲットブランキング攻撃）。対策として、aタグのrel（relationship）属性に、"noopener"と設定する。

updateアクション

初期のcreateの実装と同様の形態。updateもcreateのときと同様に、意図しない属性値を送り込まれないように、Strong Parametersのuser_paramsを使用する。
編集に失敗した場合、既にパーシャルでerror_messageを表示するようにしてあるため、AcrtiveRecordの用意したエラーメッセージが表示される。

[app/controllers/users_controller.rb]
  def update
    @user = User.find(params[:id])
    if @user.update(user_params)
      # 更新に成功した場合を扱う
    else
      render 'edit', status: :unprocessable_entity
    end
  end

編集に対するテスト

編集失敗時のテスト

ユーザー情報の更新は名前付きルーティングuser_path(user)でHTTPリクエストのPATCHメソッドでおこなう。

[test/integration/users_edit_test.rb]
  test "unsuccessful edit" do
    get edit_user_path(@user)
    assert_template 'users/edit'
    patch user_path(@user), params: { user: { name:  "",
                                              email: "foo@invalid",
                                              password:              "foo",
                                              password_confirmation: "bar" } }

    assert_template 'users/edit'
    assert_select 'div.alert', "The form contains 4 errors."
  end

編集成功時のテスト

編集成功動作はTDDでおこなう。重要な部分は、@user.reloadでデータベースの最新情報を再読み込みした後の、ユーザー情報がpatchで送信したものと一致していることを確認する動作。

[test/integration/users_edit_test.rb]
  test "successful edit" do
    get edit_user_path(@user)
    assert_template 'users/edit'
    name  = "Foo Bar"
    email = "foo@bar.com"
    patch user_path(@user), params: { user: { name:  name,
                                              email: email,
                                              password:              "",
                                              password_confirmation: "" } }
    assert_not flash.empty?
    assert_redirected_to @user
    @user.reload
    assert_equal name,  @user.name
    assert_equal email, @user.email
  end
end

updateアクションに成功時の動作（フラッシュメッセージの表示、users_path(@user)へリダイレクト）を追加する。

allow_nil: trueオプションについて
パスワードのバリデーションにパスワードフィールドが空だった場合の例外処理を加えるallow_nilオプションがある。これを追加することで、editテストのバリデーションエラーを回避出来る。
これとは別にhas_secure_password自体に、オブジェクト生成時のパスワードの存在性の検証があるため、空のパスワードが有効化される訳ではない。
このオプションの追加によって、ユーザー作成時に空のパスワードであった場合に重複するエラーが発生する問題は解消される。

認可

現在の状態だと、editやupdate機能が誰でも使用可能なため、認可されたユーザーのみが操作可能とする必要がある。

beforeフィルター

• 何らかの処理を実行する前に特定のメソッドを走らせる仕組み。
  
• beforeフィルターはコントローラ内のすべてのアクションに定義されるため、特定のアクションに限定する場合はハッシュ形式の:onlyオプションを渡す。
  
• before_action :logged_in_user, only: [:edit, :update]のように記述すると、editアクションとupdateアクションのみの直前にloged_in_userメソッドを走らせる。
  

正しいユーザーを要求する動作

editアクションやupdateアクションはログインしているかつ、自分の情報に対するアクションであるようにする必要がある。
fixtureに２人目のユーザー（other_user）を追加し、other_userがuserの情報を操作しようとした場合にリダイレクトするように実装。ログインはしているため、リダイレクト先はroot_url。
correct_userメソッドをbeforeアクションに加え、editやupdate前に確認させる。

[app/controllers/users_controller.rb]
    # 正しいユーザーかどうか確認
    def correct_user
      @user = User.find(params[:id])
      redirect_to(root_url, status: :see_other) unless @user == current_user
    end

@user == current_userの部分は、理論値を返すcurrent_user?(@user)の形で実装するために、current_user?ヘルパーメソッドを追加する。
user&&userとすることで、存在性の検証(nilだった場合をキャッチ)も兼ねている。

[app/helpers/sessions_helper.rb]
  def current_user?(user)
    user && user == current_user
  end

フレンドリーフォワーディング

ログインが必要なユーザーがログイン後にroot_urlではなく、元いたページに再び飛ばされる方が親切。
フレンドリーフォワーディング機能は、保存されたURLがある場合はそこにリダイレクトし、ない場合はデフォルトのURLへ飛ぶように設定。
リクエストがあったURLをsessionハッシュに格納(GETリクエストの場合のみ)し、ユーザー作成のcerateアクション実行時にこれを参照するようにすればよい。

[app/controllers/sessions_controller.rb]
 def create
    user = User.find_by(email: params[:session][:email].downcase)
    if user && user.authenticate(params[:session][:password])
      forwarding_url = session[:forwarding_url]
      reset_session
      params[:session][:remember_me] == '1' ? remember(user) : forget(user)
      log_in user
      redirect_to forwarding_url || user

reset_sessionをforwarding_urlにセッションURLを格納してから実行することで、転送先URLをセッションから削除している。これをしないと、セッションが閉じるまでこのページにアクセスするため。

すべてのユーザーを表示

indexアクションの実装

indexページはログイン済のユーザーのみ表示し、そうでないユーザーへはログインを促す。

サンプルユーザーの追加

gemのFakerを使用すると、一括でサンプルユーザーを生成可能。
下のコードの場合だと、メインユーザーを一人作成し、99人の追加ユーザーを作成する。

[db/seeds.rb]
User.create!(name:  "Example User",
             email: "example@railstutorial.org",
             password:              "foobar",
             password_confirmation: "foobar")


99.times do |n|
  name  = Faker::Name.name
  email = "example-#{n+1}@railstutorial.org"
  password = "password"
  User.create!(name:  name,
               email: email,
               password:              password,
               password_confirmation: password)
end

ページネーション

• 大量のユーザーが存在している場合だと、１ページに大量のユーザーが表示されるため、ユーザー体験ととしてはよくない。
  
• gemのwill_pagenateと、bootstrap-will_paginateを追加し、Bootstrapの機能で実現可能。
  
• paginate機能はpaginateメソッドで得た結果が必要なため、indexアクションにpaginateメソッドを追加する必要がある。
  
• pagiateメソッドはkeyが:pageでvalueがページ番号のハッシュを引数として受け取る。
  
• paginationのテストは、paginationクラスを持つdivタグを調べることと、１ページ目にuser.nameのテキストを持ったそのユーザーへのリンク（aタグ）があることを調べる。

パーシャルのリファクタリング

ビューのindexページは、liタグ部分をrender呼出しに変えることでリファクタリングが可能。

[app/views/users/index.html.erb]
  <% @users.each do |user| %>
    <li>
      <%= gravatar_for user, size: 50 %>
      <%= link_to user.name, user %>
    </li>
  <% end %>

[app/views/users/index.html.erb]
  <% @users.each do |user| %>
    <%= render user %>
  <% end %>

ここのrenderは普通'layouts/header'のようにファイル名の文字列を指定するが、ここは単にuserとしている。これは、@users.each do |user|で指定しているUserクラスのuserオブジェクトに対して実行しており、これでRailsは_usersパーシャルを探すことが出来る。
しかも更にこの部分はリファクタリングが可能で、do...endブロックごとrender @usersに置き換えると、@usersにはユーザー一覧が格納されているため、RailsはUserオブジェクトのリストとして列挙してくれるらしい。

<ul class="users">
  <%= render @users %>
</ul>

ユーザーの削除

adminユーザー

特有の権限を持つ管理ユーザー（adminユーザー）は、データモデルにboolean(真偽値)型として追加する。adminのデフォルト値はnilであるが、マイグレーションファイルにdefault: falseを明示的に渡しておく方がよい。
このadmin属性は必ず悪意あるユーザーが変更できないように、Strong parametersのpermitで"許可されていない"ことを確認しておく。

destroyアクション

destroyアクションは、①current_userがadminかつ、②表示しているユーザーが自分自身ではない場合にのみ表示させる。
if current_user.admin? && !current_user?(user)がこの①、②に該当。②の !current_user?(user)が_user.html.erbパーシャル内にあるため少し分かりにくいが、ここの引数の(user)はeachでリスト化されるユーザーであり、リスト化されたユーザーがcurrent_userである場合はそれはadminユーザー自身であるためdeleteは出来ず、それ以外のユーザーはdelete出来るようにするため !current_user?(user)となる。

[app/views/users/_user.html.erb]
  <% if current_user.admin? && !current_user?(user) %>
    | <%= link_to "delete", user, data: { "turbo-method": :delete,
                                          turbo_confirm: "You sure?" } %>
  <% end %>

コントローラでdestoyアクションを作成するとユーザー削除が可能となる。destoyアクションはログイン済みである必要があるため、beforeフィルタに加えておく。
更に念押しで、adminユーザーだけがdestroy出来るようにadminであるかどうかを確認する動作もbeforeフィルタで加えておくことが重要。

[app/controllers/users_controller.rb]
    def admin_user
      redirect_to(root_url, status: :see_other) unless current_user.admin?
    end

ユーザー削除のテスト

ログインユーザーでなかったり、adminユーザーでないユーザーに対するdestroyアクションのテストは、assert_not_differenceでユーザー数が変化していないことを確認すればok。
adminユーザーの削除した場合のdestroyアクションとレイアウトに対するテストは少し複雑。

1. @adminユーザーでログイン。
2. indexテンプレートやページネーションリンクがあることを確認。
3. １ページ目に表示されるユーザーを変数first_page_of_usersに格納。
4. それらのユーザーに対してdeleteリンクがあることを確認。
5. ユーザーを一人削除して、ユーザー数が正しく変化（-1）されていることを確認。

ここで、4のdeleteリンクの確認では、unless user == @adminで分岐させて、adminユーザーにはリンクが無く、それ以外のユーザーにのみdeleteリンクがあることを見ている。

[test/integration/users_index_test.rb]
 def setup
    @admin     = users(:michael)
　@non_admin = users(:archer)
  end

  test "index as admin including pagination and delete links" do
    log_in_as(@admin)
    get users_path
    assert_template 'users/index'
    assert_select 'div.pagination'
    first_page_of_users = User.paginate(page: 1)
    first_page_of_users.each do |user|
      assert_select 'a[href=?]', user_path(user), text: user.name
      unless user == @admin
        assert_select 'a[href=?]', user_path(user), text: 'delete'
      end
    end
    assert_difference 'User.count', -1 do
      delete user_path(@non_admin)
      assert_response :see_other
      assert_redirected_to users_url
    end
  end

第１０章ー演習ー

10.1.1

①target="_blank"で新しいページを開くと、古いブラウザでセキュリティ上の小さな問題が生じます。それは、リンク先のサイトがHTMLドキュメントのwindowオブジェクトを扱えてしまう、という点です。具体的には、フィッシング（Phising）サイトのような、悪意のあるコンテンツを導入されてしまう可能性があります。Gravatarのような著名なサイトではこのような事態はめったに起きないと思いますが、念のため、このセキュリティ上のリスクも排除しておきましょう。対処方法は、リンク用のaタグのrel（relationship）属性に、"noopener"と設定するだけです。リスト 10.2で使ったGravatarの編集ページへのリンクでこの設定を行ってください。
(解答)

<li><%= link_to "Settings", edit_user_path(current_user), rel: "noopener" %></li>

②リスト 10.5のパーシャルを使って、new.html.erbビュー（リスト 10.6）とedit.html.erbビュー（リスト 10.7）をリファクタリングし、コードの重複を解消してください。（ヒント: 3.4.3で使ったprovideメソッドを使うと、重複を取り除けます3 。）
(解答) 解消された。

10.1.2

①編集フォームから有効でないユーザー名やメールアドレス、パスワードを使って送信した場合、編集に失敗することを確認してみましょう。
(解答)飛ばします。

10.1.3

①リスト 10.9のテストに1行追加して、エラーメッセージが正しい個数で表示されているかテストしてみましょう。（ヒント: 表 5.2で紹介したassert_selectを使ってalertクラスのdivタグを探しだし、「The form contains 4 errors.」というテキストを精査してみましょう。）
(解答)

[test/integration/users_edit_test.rb]
  test "unsuccessful edit" do
    get edit_user_path(@user)
    assert_template 'users/edit'
    patch user_path(@user), params: { user: { name:  "",
                                              email: "foo@invalid",
                                              password:              "foo",
                                              password_confirmation: "bar" } }

    assert_template 'users/edit'
    assert_select 'div.alert', "The form contains 4 errors."
  end

10.1.4

①実際に編集が成功するかどうか、有効な情報を送信して確かめてみましょう。
(解答) 飛ばします。

②Gravatarと紐付いていない適当なメールアドレス（foobar@example.comなど）に変更すると、プロフィール画像はどのように表示されるでしょうか? 実際に編集フォームでメールアドレスを変更して確認してみましょう。
(解答) 飛ばします。

10.2.1

①デフォルトのbeforeフィルターは、すべてのアクションに対して制限を加えます。今回のケースだと、ログインページやユーザー登録ページにも制限の範囲が及んでしまい、結果としてテストも失敗するはずです。リスト 10.15のonly:オプションをコメントアウトしてみて、テストスイートがそのエラーを検知できるかどうか（テストが失敗するかどうか）確かめてみましょう。
(解答) コメントアウトしたらテストREDとなった。

10.2.2

①editアクションとupdateアクションを両方とも保護する必要がある理由は何でしょうか？考えてみてください。
(解答) updateアクションは当然第三者からの更新を防ぐためで、editアクションはGETリクエストのため更新はされないが、そもそも第三者がアクセス可能となるページとはすべきでないため。

②上記のアクションのうち、どちらがブラウザで簡単にテストできますか?
(解答) editアクション。別のユーザーでアドレスバーにeditのパスを入力するだけだから。

10.2.3

①フレンドリーフォワーディングで、渡されたURLに転送されるのが初回のみであることを、テストを書いて確認してみましょう。次回以降のログインでは、転送先のURLをデフォルトのプロフィール画面に戻しておく必要があります。（ヒント: リスト 10.30のsession[:forwarding_url]が正しい値かどうか確認するテストを追加してみましょう。）
(解答) session[:forwarding_url]がreset_sessionによってnilになっていればよい。

[test/integration/users_edit_test.rb]
  test "successful edit with friendly forwarding" do
    get edit_user_path(@user)
    log_in_as(@user)
    assert_redirected_to edit_user_url(@user)
    assert session[:forwarding_url].nil?

②7.1.3で紹介したdebuggerメソッドをSessionsコントローラのnewアクションに置いてみましょう。その後、ログアウトして/users/1/editにアクセスしてみてください。デバッガーによって処理が途中で止まるはずです。ここでコンソール画面に移動し、session[:forwarding_url]の値が正しいかどうか確認してみましょう。また、newアクションにアクセスしたときのrequest.get?の値も確認してみましょう。なお、デバッガーを使っている最中に、ターミナルが不意に動かなくなったり挙動がおかしくなったりすることもあります。そのようなときは、熟練開発者の精神を思い出しながら落ち着いて対処しましょう（コラム 1.2）。
(解答) newにdebuggerを挿入して動かすと重くて操作出来ないので飛ばします。。。

10.3.1

①レイアウトにあるすべてのリンクに対して統合テストを書いてみましょう。ログイン済みユーザーとそうでないユーザーのそれぞれに対して、正しい振る舞いを考えてください。（ヒント: log_in_asヘルパーを使ってリスト 5.31にテストを追加してみましょう。）
(解答)

[test/integration/site_layout_test.rb]
  def setup
    @user = users(:michael)
  end

  #ログイン済ユーザーのindexレイアウトのテスト
  test 'index path layput links with logged in user' do
    log_in_as(@user)
    get users_path
    assert_template 'users/index'
    assert_select "a[href=?]", root_path, count: 2
    assert_select "a[href=?]", help_path
    assert_select "a[href=?]", about_path
    assert_select "a[href=?]", contact_path
    assert_select "a[href=?]", edit_user_path(@user)
    assert_select "a[href=?]", logout_path
  end

  #ログインしていないユーザーのindexレイアウトのテスト
  test 'index path layput links with not logged in user' do
    get users_path
    follow_redirect!
    assert_template 'sessions/new'
    assert_select "a[href=?]", root_path, count: 2
    assert_select "a[href=?]", help_path
    assert_select "a[href=?]", about_path
    assert_select "a[href=?]", contact_path
    assert_select "a[href=?]", login_path
  end

10.3.2

①試しに他のユーザーの編集ページにアクセスしてみて、10.2.2で実装した通りにリダイレクトされるかどうかを確かめてみましょう。
(解答) リダイレクトされた。

10.3.3

①Railsコンソールを開き、pageオプションにnilをセットして実行すると、1ページ目のユーザーが取得できることを確認してみましょう。
(解答) １ページ目のユーザー３０人が取得できた。

User.paginate(page: nil)
  TRANSACTION (0.1ms)  begin transaction
  User Load (4.2ms)  SELECT "users".* FROM "users" LIMIT ? OFFSET ?  [["LIMIT", 30], ["OFFSET", 0]]

②先ほどの演習課題で取得したpaginationオブジェクトは、どのクラスでしょうか? また、User.allのクラスとどこが違うかを比較してみてください。
(解答) 同じ

irb(main):002:0> User.paginate(page: nil).class
=> User::ActiveRecord_Relation
irb(main):003:0> User.all.class
=> User::ActiveRecord_Relation

10.3.4

①試しにリスト 10.46にあるページネーションのリンク（will_paginateの部分）を2つともコメントアウトしてみて、リスト 10.49のテストが red に変わるかどうか確かめてみましょう。
(解答) 2つともコメントアウトするとテストREDとなった。

②先ほどは2つともコメントアウトしましたが、1つだけコメントアウトした場合、テストが green のままであることを確認してみましょう。will_paginateのリンクが2つとも存在していることをテストしたい場合は、どのようなテストを追加すれば良いでしょうか?（ヒント: 表 5.2を参考にして、個数をカウントするテストを追加してみましょう。）
(解答) assert_select 'div.pagination', count: 2とする。

10.3.5

①リスト 10.53にあるrenderの行をコメントアウトし、テストの結果が red に変わることを確認してみましょう。
(解答) REDになる。

10.4.1

①Web経由でadmin属性を変更できないことを確認してみましょう。具体的には、リスト 10.57に示したように、PATCHを直接ユーザーのURL（/users/:id）に送信するテストを作成してみてください。テストの振る舞いが正しいことを確信できるように、最初にadminをuser_paramsメソッド内の許可されたパラメータ一覧に追加しておきましょう。最初のテストの結果は red になるはずです。最後の行では、更新済みのユーザー情報をデータベースから読み込めることを確認します（6.1.5）。
(解答) patchリクエストでadmin:trueを送信し、データベースから最新の情報を読み込み（reload）したときにadmin属性が付与されていなければよい。permitにadmin属性を入れるとREDになり、外すとGREENとなった。

[test/controllers/users_controller_test.rb]
  test "should not allow the admin attribute to be edited via the web" do
    log_in_as(@other_user)
    assert_not @other_user.admin?
    patch user_path(@other_user), params: {
                                    user: { password:              "password",
                                            password_confirmation: "password",
                                            admin: true } }
    assert_not @other_user.reload.admin?
  end

10.4.2

①管理者ユーザーとしてログインし、試しにサンプルユーザを2〜3人削除してみましょう。ユーザーを削除すると、Railsサーバーのログにはどのような情報が表示されるでしょうか?
(解答) DELETE FROM "users" WHERE "users"."id" = ? "id", 16　とログに表示される。

10.4.3

①試しにリスト 10.60にある管理者ユーザーのbeforeフィルターをコメントアウトしてみて、テストの結果が red に変わることを確認してみましょう。
(解答)REDになる。

第１０章ーまとめー

• リンクを新しいウィンドウで開くtarget="brank"昨日はフィッシングサイトなどにリンクされる可能性を排除するために、rel属性に"noopener"を追加する。
• パスワードのバリデーションにはallow_nil: trueを追加しても、has_secure_password自体の存在性検証機能があるため問題無い。
• editアクションやupdateアクションはログインしているユーザーかつ、自分自身の情報の操作である場合に認可する。createアクションと同様に意図しない情報を更新させないように、Strong parametersを適用させる。
• フレンドリーフォワーディング機能によって、ログイン前の元いたページへ遷移させることが可能。
• 複数ユーザーが存在する場合はページネーション機能を用いて、特定の人数ごとにページを区切る。
• destoryアクションはadmin属性にのみ認可し、admin属性はStrong parameterで認可していないことを必ず確認する。
• ユーザー削除のテストではassert_differenceでユーザー数が削除前後で減少していることを検証すればよい。

第１０章終わり🐻