Heroku | OAuth as Single Sign Onを読んだ。 つまり Herokuでは色々なリソースの操作が内部のAPIサーバ経由で行われる dashboard.heroku.com 等のサービスがユーザにUIを提供し内部でAPIサーバと通信している APIサーバを利用するにはまずアクセストークンを発行する必要がある ログイン用のUIをid.heroku.comで提供している ログイン時に内部でAPIサーバからアクセストークンを発行してこれをcookieに入れておく 各サービスではcookieに含まれているアクセストークンを利用してAPIサーバと通信する アクセストークンについて リフレッシュトークンは捨てることにしてるので有効期間が切れると使えなくなる とはいえ有効期間は30日間に設定されているので30日の間はログインし続けられる あとアクセストークンと一緒に時刻も保存して