API実装でトークン認証について調べている際にリフレッシュトークン(アクセストークンの有効期限が一時間ほどなのに比べ、こちらは数か月など)の必要性が分からなかったため調べてみた。 リフレッシュトークンは有効期限が切れる際にサーバーに送信され、両トークンの再発行を行うために使用されるとのこと。 だったら初めからアクセストークンのリフレッシュトークンと同じように長くとれば良いのでは、、、と思ったのが始まり。 アクセストークンを使った認証の流れ 以下の流れ ユーザーがログインした際に、サーバー側でアクセストークンを発行 ブラウザはアクセストークンを受け取り、保持 ブラウザはエンドポイントにアクセスする時に、ヘッダーにアクセストークンを付与して送信 サーバーはアクセストークンを受け取って、認証を行い、成功するとレスポンス アクセストークンの有効期限が切れたら、ユーザーは再びログイン 引用: 【Py