RailsでAPIサーバを開発する(AngularJS, Ruby on Rails, SPA)
RailsでJSONを返すAPIアプリケーションを3週間ぐらい試行錯誤しながら作成しています。少しですがノウハウも溜まってきたのでここにまとめておこうと思います。
今回のアプリケーションの構成は大体次のようになっています。
- RailsはAPIサーバ(一般公開するAPIではなくSPA(シングルページアプリケーション)のサーバとしてJSONを返却する。HTMLは返却しない)
- クライアントサイドはAngularJSで画面遷移、Viewの描画まで管理する
- DBはMySql、Session管理はRedis(まだローカル開発なのであまり関係無い)
チームはサーバサイド、クライアントサイドで完全に分担して二人で作成しています(自分はサーバサイド担当)。
このブログエントリーでは次のことを書きます。
- APIのルーティングの設定(JSONのみ返すようにする方法)
- Session管理(CSRFトークンの受け渡し方法など)
- APIのテスト方法(RSpecを使っています)
APIのルーティング
JSON formatの指定
各Routingをnamespace :api {format: 'json'}を全体に囲みます フォーマットをjson固定で指定したので、URLに「.json」をつけなくてもJSONが返却されます。 (「/api/users」というURLでJSONが返却されます)
namespace :api, { format: 'json' } do resources :admin_users resources :domains do resources :sites end post 'login' => 'user_sessions#create' delete 'logout' =>'user_sessions#destroy' route to: 'welcome#index' end
Controllerのnamespace
routes.rbでapiというnamespaceで全体を囲んでいるのでControllerにもnamespaceを付けます。付けたnamespaceに合わせてディレクトリも作成します(app/controllers/apiディレクトリを作成)。
module Api class UsersController < ApplicationController def index @users = User.all render json: @users end end
Session(Cookie)の管理
CSRF-Tokenとsession_storeについて書きます。
CSRF-Token
今回のアプリケーションではサーバサイドでViewをレンダリングしないので、そのままではクライアントとのCSRF−Tokenの受け渡しができません。
なのでトークンの受け渡しをするためにクライアント(今回はAngularJS)側で、リクエストヘッダーのX−CSRF-Tokenにサーバから渡されたトークンを設定してリクエストを送ります。
とりあえず開発フェーズでそこを後回しにしたい場合はCSRF-Tokenを無効にすることもできます。
module Api class ApplicationController < ActionController::Base protect_from_forgery with: :exception skip_before_filter :verify_authenticity_token end end
(protect_from_forgery with: null_sessionだとcookie自体が無効になってしまうのでこのように指定しています )
session_store
純粋なAPIサーバの場合、アクセストークンを発行して有効期限を設定するというやり方が一般的です。
ですが今回はSPA用のサーバとしてRailsアプリケーションをAPIサーバにしているだけなので、通常のRailsアプリケーションと同様にCookieを利用してSession管理をしています(session_idの受け渡し方法として)。
話はそれますが今回作成しているアプリケーションはsession_soreとしてRedisを使用しているのでそこの設定を書いておきます。
- session_store.rbに書いてある元の設定は削除する
# Rails.application.config.session_store :cookie_store, key: '_spa-demo_session'
- 環境用設定ファイル(development.rb, production.rb)にredisの設定をする
config.session_store :redis_store, { key: '_spa-demo_session', servers: { host: 'localhost', port: '6379', db: '0' }, expire_after: 60.minutes }
APIのTest方法
spec/requestsを使ってテストします。今回のRailsアプリケーションは画面が無いためCapybaraは使いません。
コントローラのレスポンスをシュミレートするためにget、post、put、deleteメソッドを使います。
(以下はadmin_users_controller.rbというコントローラを作ったと仮定して、そのAPIに対するテストケースです)
一覧(index)API
describe 'GET admin_users API', type: :request do it 'populates an array of all admin_users and does not include delete_containers' do suzuki = create(:admin_user, user_name: "鈴木一朗", email: "[email protected]", container_nums: 5) yamada = create(:admin_user, user_name: "山田太郎", email: "[email protected]", container_nums: 5) get "/api/admin/admin_users" expect(response.status).to eq 200 expect(assigns(:admin_users)).to match_array([@admin_user, suzuki, yamada]) end end
- レスポンスオブジェクトのステータスフィールドを確認します。
- match_arrayメソッドで返却値の配列に作成したオブジェクトが含まれていることを確認します。なおmatch_arrayは順番は保証しないので、順番の確認が必要な場合は結果のJSON配列を確認する必要があります。
詳細(show)API
describe 'GET admin_users#show API', type: :request do before :each do @admin_user = create(:admin_user, id: 1) login @admin_user end it 'assigns the requested admin_user to @admin_user' do get "/api/admin/admin_users/#{@admin_user.id}", nil expect(response).to have_http_status(:success) json = JSON.parse(response.body) expect(json["id"]).to eq @admin_user.id expect(json["user_name"]).to eq @admin_user.user_name expect(json["admin_user_role_id"]).to eq @admin_user.admin_user_role_id expect(json["email"]).to eq @admin_user.email end end
- 詳細APIではオブジェクトのそれぞれのフィールドを確認しています。responseオブジェクトのbodyフィールドをjsonオブジェクトに変換してから確認します。
- beforeメソッドのなかで実施している「login @admin_user」はこのAPIを表示するための認証処理をパスするために行っています(APIテストには直接関係ない処理ですが後で説明します)。
更新(update)API
describe 'PUT admin_users#update API', type: :request do before :each do @admin_user = create(:admin_user) login @admin_user end context "valid attributes" do it "changes admin_user's attributes" do updated_date = DateTime.new(2015, 7, 7, 11, 12, 13) admin_user = create(:admin_user, id: 2, email: "[email protected]", user_name: '変更前', admin_user_role_id: 1, updated_at: updated_date) new_attributes = { id: 2, email: '[email protected]', user_name: '変更後', admin_user_role_id: 2, updated_at: updated_date} put "/api/admin/admin_users/#{admin_user.id}", new_attributes admin_user.reload expect(response).to be_success expect(admin_user.email).to eq('[email protected]') expect(admin_user.user_name).to eq('変更後') expect(admin_user.admin_user_role_id).to eq(2) end end end
- APIをコールする時はリクエストパラメータをハッシュで指定するので、ここでもnew_attributesというハッシュを作成してputメソッドの引数に渡しています。
- putメソッド実行後、オブジェクトをreloadメソッドで更新して各フィールドがAPI実行後に期待値に変わったか確認しています
登録(post)API
describe 'POST admin_users API', type: :request do it 'creates admin_user' do params = { email: "[email protected]", user_name: "テスト管理者", password: "password", password_confirmation: "password"} # 登録が成功してDBのレコードが一件増えていることを確認する expect { post "/api/admin/admin_users", params }.to change(AdminUser, :count).by(1) expect(response.status).to eq 201 end end
ここでは登録APIが成功していることを「expect { XXX }.to change(YYY).by(1) 」の箇所で確認しています。
私は今回のプロジェクトでほぼ初めてRSpecを使ったのですが、この書き方は最初ビビりました。。が、慣れてくると見やすいですね、多分。
これはRSpecのchangeというマッチャで次のように使います。
expect{ XXX }.to change{ YYY }.from(AAA).to(BBB)
XXXの処理をするとYYYのオブジェクトがAAAの状態からBBBの状態に変わることを期待する
削除(delete)API
登録とは反対に削除されることを確認するだけなのでコードは省略します。 changeマッチャを使って一件レコードが減っていることを確認すればよいだけです!
expect { delete "/api/admin/admin_users", id }.to change(AdminUser, :count).by(-1)
認証チェックをパスしてテストする方法
先ほど詳細APIのところで少し触れた以下の記述ですが、これはAPIをテストするために認証処理をシミュレートをするための記述です。
認証処理にSorceryというgemを使用していますが、独自の認証処理でもあってシミュレートする仕組みは大体同じだと思います。
before :each do @admin_user = create(:admin_user) login @admin_user end
1.ログインをシミュレートするためのモジュールの作成
「rspec/support」ディレクトリに「authentication.rb」というファイルを作成して次のように処理を書きます。
module Authentication def login user, password = 'password' user.update_attribute :password, password post '/api/admin/login', { email: user.email, password: password } end end
- postメソッドの引数にはloginのパスを指定する
- emailではなくてユーザー名で認証している場合は{ user_name: user.name, password: password }にする
2.作成したモジュールを読み込ませる
rails_helperに今回作成したモジュールを追加してテスト実行時に利用できるようにします
RSpec.configure do |config| config.include Sorcery::TestHelpers::Rails::Integration, type: :request # 追加 config.include Authentication # 追加 end
ここまでの設定をすれば、APIのテスト時に認証処理をパスすることができるようになります。
現段階でのAngularJS & RailsのSPAアプリケーションについての感想
最後にまだまだ触ったばかりでしっかりと理解はできていないのですがRailsとAngularJSによるSPAについての雑感です。
メリット次のようなものがあると感じています。
- サーバサイド、クライアントサイドにエンジニアを用意してチームを組めるのであれば分担して開発ができる
- クライアント開発(JS、デザイン)の実力者がいればその人の能力をフルに活かせる
一方デメリットはこんな感じでしょうか。
- 単純な画面(ログイン、一覧画面等)までクライアントサイドで全て作るのはむしろ生産性が下がる(気がする)
- APIのインターフェースが変更になるとどちらも影響を受ける
まだまだ始めたばかりなのでもう少しこのスタイルの開発を噛み砕いてきたらまた感想などを書きたいと思います。