アクセストークンの有効期限は短く

ログイン認証を作るうえで、アクセストークンの有効期限は短い方がいい、という情報を得た。

アクセストークンが盗まれた時に、備えてのことらしい。

例えば15分とか、って例で書かれていた。

そうすると15分ごとにログインをし直させなければならない。

それはユーザビリティ的にどうなのだろうか。という疑問が生まれた。

それを解決するのがリフレッシュトークンらしい。

アクセストークンとリフレッシュトークン

リフレッシュトークンはアクセストークンを再発行するために必要になる。

例えば、ログインをしアクセストークンを取得する。

15分後、アクセストークンが切れた場合はリフレッシュトークンを使用し、アクセストークンを再発行する。

その際、リフレッシュトークンも最新化する。

これで15分ごとにユーザーがログインし直すという苦痛から解放することができる。…

期待するもの

新規登録のAPIを作成したので、次はログイン機能を作成したい。

ログインは、メールアドレスとパスワードを送り一致したら、tokenを取得する。

で、tokenを使って認証付きのAPIを叩けるようになりたい。

tokenにはjwtを使用する。

jwtってなに？

これはどこかで調べてまとめる（気が向いた時）。

JWT認証を作成する

パッケージのインストール

github.com/dgrijalva/jwt-goパッケージの情報が多かったので、それに従うことにする。長い物には巻かれるべきで間違いない。

パッケージをインストールする。

Tokenを生成する

まずjwt.goというファイルを作成する。

今回はauthフォルダの中に作成した。

それでは書いていく。

まずは、jwtを生成するためのシークレットキーを作成する。

ここでは任意の文字列（今回は"y…