【REST API】認証トークンをどのように扱うのが良さげか調べたことをまとめる - s u p ?#142 JWTどこに保存するべきか問題 JWTをどこに保存するかを色々調べていたので、それらについて端的にまとめる。そもそもAPIファーストでフロントとバックが疎結合なアーキテクチャはなぜセッションではなくJWTみたいな認証トークンを使用するのかや、APIのRESTの考え方からもう一度復習することにした。 目次 APIはステートレスであるべきというRESTの考え RESTの考え方の1つに「ステートレス」というものがある。APIは「状態を保持しない」設計にしろということである。そもそもHTTP通信は「ステートレス」であり、それだと色々困ることがあったからセッションというものが登場した。セッションは「ステートフル」であり、「状態を保持する」機能である。ステートフルなセッションは、誰のものか判別するために一意のIDが必要になる。一般的にそのIDを保存する場所がCookieであり、クライアント側
