UUID:
世界でほぼ一意になるIDの規格。"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"形式の128bit識別子。相関ID（X-Request-Id）に使うと、リクエストをログで追いやすい。

• 形式：8-4-4-4-12 の16進文字列（例：4d275778-9ecf-4bc3-b8c5-49229a26ace7）
• 種類：よく使うのは v4（乱数ベース）。MVPの相関IDならこれで十分。
• Javaでの生成（相関ID用の最小例）：

String rid = java.util.UUID.randomUUID().toString();
// 例: "4d275778-9ecf-4bc3-b8c5-49229a26ace7"

MDC（Mapped Diagnostic Context）:
スレッドごとのキー/値メモ。requestIdやuserIdを入れておくと、ログ出力時に自動で差し込める仕組み（SLF4J/Logbackの機能）。

• ログ出力時に自動で差し込める“文脈情報”の入れ物。スレッドローカル（スレッドごと）で保持。
• 使い方（Logback + SLF4J）
  1. 入れる：MDC.put("requestId", rid)
  2. ログパターンに埋める：[%X{requestId}]
  3. 必ず消す：MDC.clear()（または MDC.putCloseable）

https://start.spring.io/

• Project
  • Gradle - Groovy
• Language
  • Java 21
• Packaging
  • Jar

TBA

usersテーブル

• id BIGSERIAL PRIMARY KEY
  • 自動採番の一意キー。
  • BIGSERIAL は内部的に bigint とシーケンスをセットで作成してくれる。
  • アプリでユーザーを識別するときの主キー。
• username VARCHAR(30) UNIQUE NOT NULL
  • 表示名やログインIDに使う想定。
  • UNIQUEにより重複禁止。
  • 最大30文字。文字数制限をつけることでデータ破壊や検索性能低下を防げる。
• password_hash TEXT NOT NULL
  • パスワードそのものではなく ハッシュ化した値 を保存する。
  • セキュリティ上、生のパスワードを保存してはいけない。
  • 長さはアルゴリズムに依存するのでTEXT型にしている（bcrypt でも argon2 でも対応可能）。
• created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
  • ユーザー登録日時を自動で記録。
  • TIMESTAMPTZはタイムゾーン付きで、グローバル対応に便利。

postsテーブル

• id BIGSERIAL PRIMARY KEY
  • 投稿の一意キー（自動採番）。
  • タイムラインや詳細表示で使う。
• user_id BIGINT NOT NULL REFERENCES users(id) ON DELETE CASCADE
  • 投稿者のユーザーID。
  • REFERENCES users(id) による外部キーで users と紐づく。
  • ON DELETE CASCADE により、ユーザーが削除されればその人の投稿も自動削除。
    → 「消えたユーザーの投稿が残ってゴミになる」ことを防ぐ。
• content TEXT NOT NULL
  • 投稿内容そのもの。
  • SNSらしく長文も想定してTEXT型にしている。
  • 実運用では文字数制限（例：280文字）をアプリ側でバリデーションすることが多い。
• created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
  • 投稿日時を自動記録。
  • タイムライン表示やソートに必須。

構成

• 行＝「Aさん（follower）がBさん（followed）をフォローする」という 1本のフォロー関係。
• 同じユーザー同士の重複フォローは禁止、自分自身のフォローも禁止。
• ユーザーが消えたら、その人に関連するフォロー関係は自動的に消える（参照整合性＋カスケード削除）。

各カラムと制約の意味

テーブル作成(CREATE)

CREATE TABLE IF NOT EXISTS follows (
  follower_id BIGINT NOT NULL,     -- フォローする側（= 自分）
  followed_id BIGINT NOT NULL,     -- フォローされる側（= 相手）
  created_at  TIMESTAMPTZ NOT NULL DEFAULT NOW(),

• follower_id, followed_id
  • users(id)を参照する 外部キー になるID。NOT NULL で「空のフォロー」を禁止。
  • 型がBIGINTなのは、users.idがbigserial/bigint前提だから（型を合わせるのが大事）。
• created_at TIMESTAMPTZ DEFAULT NOW()
  • 追加時刻を自動で入れる。TIMESTAMPTZはタイムゾーン付き。NOW()はPostgresでは timestamptzを返すので型も合う。
  • 監査用途（後で「いつフォローしたか」を出す）に便利。

制約(CONSTRAINT)

  CONSTRAINT fk_follows_follower
    FOREIGN KEY (follower_id) REFERENCES users (id) ON DELETE CASCADE,
  CONSTRAINT fk_follows_followed
    FOREIGN KEY (followed_id) REFERENCES users (id) ON DELETE CASCADE,

• 外部キー（FK）
  • follower_idとfollowed_idは必ず存在するusers.idに紐づくことを保証。
  • ON DELETE CASCADEにより、ユーザーが削除されたら、その人が「フォローした／フォローされた」レコードが自動削除。
    → データのゴミが残らない。SNSでは自然なポリシー。

  CONSTRAINT uq_follows UNIQUE (follower_id, followed_id),

• 一意制約（複合）
  • 同じペア（A→B）を重複して登録できない。
  • Postgresではこの制約のために (follower_id, followed_id) のユニークインデックスが自動で作成される。

  CONSTRAINT ck_self_follow CHECK (follower_id <> followed_id)
);

• チェック制約
  • 自分自身のIDを相手に指定することを禁止（自己フォロー不可）。

投稿 × タイムライン用インデックス

CREATE INDEX IF NOT EXISTS idx_posts_user_created_id
  ON posts (user_id, created_at DESC, id DESC);

意味

• 対象テーブル: posts
• 対象カラム: (user_id, created_at DESC, id DESC)の複合インデックス

役割

• 「あるユーザーの投稿一覧を新しい順に取り出す」 クエリを高速化する。

例)

SELECT *
FROM posts
WHERE user_id = 123
ORDER BY created_at DESC, id DESC
LIMIT 20;

• user_idで絞り込み
• created_at DESC ＋ id DESCで新しい順に並べる
• LIMITをつけることでタイムラインのように「直近の投稿だけ」を取る

👉 インデックスが (user_id, created_at DESC, id DESC) になっていることで、WHERE + ORDER BY の両方に効く。

なぜ id DESC も入れるの？

• created_atが同一の投稿が複数あるときに「安定した順序付け」が必要になる。
• idは一意かつ増加するのでtie-breaker（順位決め）に最適。
• keyset pagination（カーソルベースページング）にも対応できる。

SELECT content
FROM posts
WHERE user_id = 123
ORDER BY created_at DESC
LIMIT 20;

フォロー集合の取得を高速化するインデックス

CREATE INDEX IF NOT EXISTS idx_follows_follower_followed
  ON follows (follower_id, followed_id);

意味

• 対象テーブル: follows
• 対象カラム: (follower_id, followed_id) の複合インデックス

役割

• 「自分がフォローしている人の一覧を取る」 クエリを高速化する。

例)

SELECT followed_id
FROM follows
WHERE follower_id = 123;

• follower_idが先頭カラムなので、この検索に効く。
• さらにfollowed_idもインデックスに含まれているので、クエリがカバーインデックス化（Index Only Scan）しやすい。
  → 実テーブルアクセスせずに結果を返せるケースがある。

注意点

「自分をフォローしている人の一覧」を取りたい場合：

SELECT follower_id
FROM follows
WHERE followed_id = 123;

こちらはこのインデックスでは効きづらい。
→ その場合は逆順の (followed_id, follower_id) インデックスを作るのが定石。

@NoArgsConstructor

• Lombokの@NoArgsConstructorを使うと、明示的に「引数なしコンストラクタ」を生成してくれる。
  • これはJPAエンティティで必須。
    • HibernateなどのJPA仕様では、エンティティクラスに 引数なしコンストラクタ（public または protected） が必須。
    • そのためエンティティクラスによく @NoArgsConstructor が使われる。
• シリアライゼーション/デシリアライゼーション
  • JSON → Object の変換時（Jacksonなど）、フレームワークがまず「引数なしコンストラクタ」でインスタンスを作成し、setterでフィールドを埋めていく。
  • そのため「引数なしコンストラクタが必要」になる。

@Table(name = “テーブル名”)

• jakarta.persistence.Table（JPA のアノテーション）
• エンティティクラスとDBのテーブル名を対応付ける ためのもの
• @Entity と一緒に使われる

なぜ必要？

• デフォルト動作
  • 通常、@Table を書かない場合、クラス名がそのままテーブル名に使われる
  • 例: User クラス → user テーブル
• 予約語回避
  • user は多くのデータベース（特にPostgreSQLやMySQL）で予約語になっている
  • そのまま使うとエラーになることがあるので、users や app_user のように変更する

@Getter

• @Getter は読み取り専用。書き込みたい場合は @Setter も必要。
• Entity（特にJPA）では setter をあえて付けず、immutable（不変オブジェクト）にしたい場合もある → @Getter だけ使うことが多い。
• いちいち public String getName() { return name; }と書かなくて済む

JPA Repository

• JpaRepository や CrudRepository を継承した リポジトリインターフェース に、特定の命名規則に従ったメソッド名 を書くだけで、自動的にクエリを作ってくれる仕組み。
  • existsByUsername
    • 戻り値：boolean
    • 「指定したusernameを持つレコードが存在するか？」を判定する
    • 使い方:

      boolean exists = userRepository.existsByUsername("kaito");
      if (exists) {
          System.out.println("そのユーザー名は既に存在します");
      }
      

  • findByUsername
    • 戻り値：通常は Optional<User>
    • 指定したusernameのユーザを取得する
    • 使い方:

      Optional<User> userOpt = userRepository.findByUsername("kaito");
      userOpt.ifPresent(user -> {
          System.out.println("見つかったユーザー: " + user.getUsername());
      });
      

    • もし複数レコードが存在するとエラーになるため、通常はusernameにユニーク制約を付ける。

@Transactional

• データベース操作を行うときに、一連の処理をひとまとめにして「全部成功するか、全部失敗して元に戻るか」を保証する仕組み。
• メソッドやクラスに付けると、その処理がトランザクション内で実行されるようになる。
• DB整合性を保ちたい処理（ユーザ登録、購入処理など）には必須。
• 例:

  @Transactional
      public void registerUser(User user) {
          userRepository.save(user);
          // 他のDB操作もここでまとめてトランザクションになる
      }
  

  • この場合registerUser()が呼ばれるときに
    • Spring がトランザクションを開始
    • メソッドが正常終了 → commit
    • メソッド内で例外発生 → rollback（DB変更を取り消す）
• @Transactional(readOnly = true)
  • 「このメソッドはデータを読み取る専用で、書き込み（更新）は行わない」というヒントを Spring と ORM（Hibernate など）に伝える。
  • 「エンティティの変更がない前提」として動作するので無駄なチェックを省略でき、パフォーマンスが向上する。

JpaRepository saveメソッド

• JpaRepository の save メソッドは Spring Data JPA で最もよく使うメソッドのひとつ。
• エンティティを 永続化（persist）または更新（merge） するメソッド。
• 引数に渡したオブジェクトをデータベースに反映する。
• save() = insert か update の両方を担うメソッド
• new entity（id が null） → insert
• existing entity（id が存在） → update

recordを使うメリット

• イミュータブル（不変）
  • フィールドが final 相当になり、セキュリティ面でも安全
• ボイラープレート削減
  • getter / constructor / equals / hashCode / toString を自動生成
• DTOに最適
  • 「ただのデータの入れ物」を定義するのにぴったり

DTOとは

• 意味: 「データをやりとりするためだけのオブジェクト」
• 役割:
  • Controller ↔ Service ↔ Client 間のデータ受け渡しに使う
  • DBの Entity と直接やりとりせず、安全に必要な情報だけを渡す
• 特徴:
  • フィールドとその getter/setter しか持たないことが多い（ロジックは持たない）
  • Java 17 以降では record を使ってよりシンプルに定義するのが主流になりつつある

なぜDTOが必要？

1. セキュリティのため
   • Entity（DBモデル）をそのまま外部APIに返すと、パスワードハッシュなど不要で危険な情報も出てしまう。
   • DTOなら「公開していい情報だけ」を詰め替えて返せる。
2. 分離のため
   • EntityはDB構造に依存して変わりやすい。
   • DTOはAPI仕様に依存して変わる。
   • これを分けておけば、DB構造を変えてもAPIを壊さずに済む。
3. バリデーションのため
   • リクエストDTOに@NotBlankや@Sizeなどのアノテーションをつけて入力チェックを自動化できる。

イメージ図

[ クライアント ]
     ↓ JSON
[ DTO ] ←→ [ Service ] ←→ [ Entity ] ←→ [ DB ]

• クライアント（フロントエンドや外部アプリ）は DTOとだけ やりとりする
• 内部のDBやEntityの構造は隠蔽できる

ResponseEntityのokメソッド

• Spring Frameworkが提供するHTTPレスポンス全体（ステータスコード＋ヘッダー＋ボディ）を表すクラス。
• コントローラの戻り値として使うと、レスポンスを柔軟に制御できる。
• 例えば引数としてJSONを渡した時、ステータスコード200を設定した上でそのままJSONを返す。

recordのDTOの返り値は？

• AuthControllerでは、AuthDtos.SignupResponseがコントローラーから拾った値を引数として受け取っている。

  // recordの定義
  public record SignupResponse(Long id, String username) {}
  
  // コントローラーの返り値
  return ResponseEntity.ok(new AuthDtos.SignupResponse(u.getId(), u.getUsername()));
  

• Javaのrecordクラスのコンストラクタは戻り値を持たない(オブジェクトが生成されるだけ)
• だが、recordをDTOとして定義した場合、Spring BootのようなWebフレームワークで返せば自動的にJSONになる。
  • Spring BootはデフォルトでJacksonというシリアライザが裏で動いているので、返り値 SignupResponse（record）が自動的にJSONにシリアライズされてクライアントに返るようになる。

まとめ

• recordはDTOに最適（イミュータブル & シンプル）
• @RestControllerや@ResponseBodyがついたControllerの戻り値にすると、自動的にJSON化される
• Jacksonが裏で働いているので、DTOがrecordでもclassでも同じように扱える
• つまり、recordをDTOとして定義した場合 → Controllerから返せばJSONになる（Jacksonのおかげ）

@Validとは

• メソッドの引数やフィールドに付けることで、そのオブジェクトに定義されている制約アノテーション（@NotNull, @NotBlank, @Size, @Email など）をチェックしてくれる。
• 主に Controller 層の @RequestBody DTOに付ける。

JwtService.generate

• 役割
  • ユーザー情報を受け取る（例: username, userId, roles）
  • 秘密鍵 or 署名アルゴリズム（HS256など）を使って署名
  • 有効期限（exp クレーム）をつける
  • 文字列としてJWTトークンを返す

  String token = jwtService.generate(user);
  

• 戻り値
  • 署名済みのJWT文字列

  eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJrYWl0byIsImlkIjoxLCJpYXQiOjE3MjYzMzYyMDAsImV4cCI6MTcyNjM0MzQwMH0.rqjdfh...
  

@AuthenticationPrincipalについて

概要

Spring Securityが提供している便利アノテーション。
コントローラーのメソッド引数に付けると、Authenticationから直接principalを取り出して注入してくれる。

Authenticationをそのまま使う場合

@GetMapping("/mypage")
public Map<String, Object> mypage(Authentication auth) {
    return Map.of("username", auth.getName());
}

• auth.getName()でusernameを取得する必要がある。
• もしUserDetailsをprincipalにしているなら、キャストが必要になることも多い。

@AuthenticationPrincipalを使う場合

@GetMapping("/mypage")
public Map<String, Object> mypage(@AuthenticationPrincipal UserDetails user) {
    return Map.of("username", user.getUsername());
}

• Authenticationを意識せず、直接principal（ユーザー情報）を受け取れる。
• 余計なキャストやauth.getPrincipal()の呼び出しが不要。

動作イメージ

• Spring SecurityはリクエストごとにSecurityContextを持っている。
• その中にAuthenticationがあり、さらにprincipalを保持している。
• @AuthenticationPrincipalを付けると、このprincipalがそのままメソッド引数に渡される。

public AuthUser {
    if (id == null) throw new IllegalArgumentException("id is required");
    if (username == null || username.isBlank()) username = "user-" + id;
    roles = (roles == null) ? Set.of() : Set.copyOf(roles);
}

これはコンパクトコンストラクタと呼ばれる書き方で、recordが自動生成するコンストラクタに対して追加のロジックを入れている。

• if (id == null) throw ...
  → id は必須なので null の場合は例外を投げる。
• if (username == null || username.isBlank()) username = "user-" + id;
  → username が空なら "user-{id}" というフォールバックを自動的に設定。
• roles = (roles == null) ? Set.of() : Set.copyOf(roles);
  → null の場合は空セットを使う。
  → さらに Set.copyOf() で イミュータブル化。
  → これにより外部から roles を変更できなくなる（安全性・予測可能性の向上）。

idフィールド

@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;

• @Id
  → このフィールドが 主キー (Primary Key) であることを示す。
  → JPA がエンティティを一意に識別するために必須。
• @GeneratedValue(strategy = GenerationType.IDENTITY)
  → 主キーを DB側のオートインクリメント に任せる設定。
  • PostgreSQL なら SERIAL / BIGSERIAL、MySQL なら AUTO_INCREMENT が使われる。
  • 特徴：insertするときにアプリ側は値をセットせず、DBに挿入したタイミングで採番される。

userフィールド

@ManyToOne(fetch = FetchType.LAZY)
@JoinColumn(name = "user_id", nullable = false)
private User user;

• @ManyToOne
  → 多対一のリレーションを表す。
  • 「複数の Post は 1人の User に属する」という関係。
  • 逆に User 側で @OneToMany(mappedBy = "user") を書けば、ユーザーに紐づく投稿リストが取れる。
  • fetch = FetchType.LAZY
    → 遅延ロード。
    • Post を取得しただけでは User の情報を DB から取らない。
    • post.getUser() を呼んだ瞬間に SQL が実行される。
    • メモリ効率・パフォーマンス向上のための設定。
• @JoinColumn(name = "user_id", nullable = false)
  → DB の外部キー列名を user_id にする。
  → nullable = false は 必須。必ず投稿にはユーザーが紐づく。

contentフィールド

@Column(nullable = false, columnDefinition = "text")
private String content;

• @Column
  → このフィールドをテーブルのカラムにマッピングする。
  • nullable = false
    → DB の制約で「必須入力」になる。
    → NOT NULL が付与される。
  • columnDefinition = "text"
    → SQL のカラム型を明示的に text に指定。
    • PostgreSQL の text 型は文字数制限がない（varchar(255) のような制限を超える長文でも保存可能）。
    • 明示しないと JPA のデフォルトでは varchar(255) になることが多い。

createdAtフィールド

@Column(name = "created_at", nullable = false, columnDefinition = "TIMESTAMP WITH TIME ZONE")
private OffsetDateTime createdAt = OffsetDateTime.now();

• @Column
  → テーブル上の created_at カラムとマッピング。
  • name = "created_at"
    → Java のフィールド名 createdAt と DB の列名 created_at を対応付ける。
    • DB 側はスネークケースにするためにこう指定している。
  • nullable = false
    → この値は必須。投稿が作成された時刻は必ず持つ。
  • columnDefinition = "TIMESTAMP WITH TIME ZONE"
    → DB のカラム型を明示的に指定。
    • PostgreSQL の場合、timestamptz 型になる。
    • 時差やタイムゾーンを考慮した保存が可能。
• private OffsetDateTime createdAt = OffsetDateTime.now();
  → Java 側でエンティティ生成時に自動で現在時刻をセット。
  • OffsetDateTime はタイムゾーン付きの日時を扱えるので国際化に強い。

全体像

public interface PostRepository extends JpaRepository<Post, Long> {

• JpaRepository<Post, Long>を継承しているので、
  • findById
  • save
  • delete
  • findAll
    など基本的なCRUD操作は自動的に利用できる。

メソッド定義

@Query(value = """ ... """, nativeQuery = true)
List<Post> compositeTimeline(
        @Param("me") Long me,
        @Param("cursorAt") OffsetDateTime cursorAt,
        @Param("cursorId") Long cursorId,
        @Param("size") int size
);

• @Query
  → 独自のSQLを指定。
  • nativeQuery = true
    → JPQL ではなく 生のSQL を使っている。
  • PostgreSQL の文法がそのまま書ける。
• @Param("me") など
  → メソッド引数をSQLにバインドする。

SQL文の意味

SELECT p.*
  FROM posts p
 WHERE (p.user_id = :me
        OR p.user_id IN (SELECT followed_id FROM follows WHERE follower_id = :me))
   AND (p.created_at, p.id) < (:cursorAt, :cursorId)
 ORDER BY p.created_at DESC, p.id DESC
 LIMIT :size

• FROM posts p
  • 投稿テーブルを検索する。
• WHERE (p.user_id = :me OR p.user_id IN (...))
  • 自分自身の投稿 (p.user_id = :me)
  • 自分がフォローしているユーザーの投稿 (p.user_id IN (...))
    → つまり「自分のタイムラインに表示される投稿」を対象にする。
• AND (p.created_at, p.id) < (:cursorAt, :cursorId)
  • Keyset ページングのコア部分。
  • 投稿をソートするキーは (created_at, id) の複合キー。
    • 最新順 → ORDER BY created_at DESC, id DESC
  • 「前回のページの最後の位置 (cursorAt, cursorId) より古い投稿だけ取る」という条件。
  • これにより OFFSET を使わずにページングができる（パフォーマンス向上）。
• ORDER BY p.created_at DESC, p.id DESC
  • 最新投稿から順に並べる。
  • id を追加しているのは、同じ created_at のときに順序が安定するようにするため。
• LIMIT :size
  • 取得件数を指定。
  • 例えば size=20 なら「次の20件」を返す。

戻り値

List<Post>

• SQLで取得したレコードを Post エンティティにマッピングして返す。
• タイムライン表示に使える。

Keysetページングの特徴

• 通常の OFFSET ... LIMIT ... ページングだと、ページが進むほど遅くなる（DBが先頭からスキャンする必要がある）。
• Keyset ページングは「カーソル位置以降のデータだけを効率的に取りに行く」ため、パフォーマンスが良い。
• TwitterやFacebookのような「タイムライン型」のサービスでよく使われる手法。

まとめると

このメソッドは「自分と自分がフォローしているユーザーの投稿」を対象に、created_at + id をソートキーにして Keysetページングで次のページを取得するクエリ。
大量データを扱うSNSタイムラインで、高速かつ安定したスクロール表示を実現できる。

saveメソッド

var post = posts.save(new Post(me, content.strip()));

• new Post(me, content.strip())
  • 新しい Post エンティティを生成。
  • strip()は文字列の前後の空白を削除する（Java 11 以降）。
• posts.save(...)
  • Spring Data JPA が INSERT を発行して DB に保存する。
  • 戻り値は 保存後のPostエンティティ（id など採番済み）。

DTO変換メソッド

return toDto(post);

• エンティティをそのまま返すのではなく、DTO（PostDtos.PostResponse）に変換して返す。
• これにより「クライアントに返す情報を制御」できる。

User me = users.findByUsername(username)

この場合、必ずDBにアクセスすることになる。
（Spring Data JPA → SELECT ... FROM users WHERE username = ? を発行）
→ 「すでに認証済みで JWT に uid や username が入っている」場合、再度DBに問い合わせる必要がないのに SELECT が走っている、という点で効率が落ちる。
→ 投稿作成のたびに users.findByUsername(...) すると、毎回 users テーブルに対して検索が行われる。
そこで、以下のようにusernameを渡さずAuthenticationから取る方法にする。

@Transactional
public PostResponse create(AuthUser me, String content) {
    if (content == null || content.isBlank()) throw new ResponseStatusException(BAD_REQUEST, "content is blank");
    User userRef = users.getReferenceById(me.id()); // ← ここでSELECTしない
    var post = posts.save(new Post(userRef, content.strip())); // ← FKでINSERT
    return new PostResponse(post.getId(), me.id(), me.username(), post.getContent(), post.getCreatedAt()); // ← 追加SELECTなし
}

• Spring Data JPA のgetReferenceByIdは、JPA EntityManager#getReference の薄いラッパー。
• 即座にSELECTを発行しない。指定IDを持つUserの遅延ロード用プロキシを返す。
• その参照を@ManyToOneにセットしてPostをsaveすると、ユーザーを読み込まずに posts.user_id = me.id()でINSERTできる（= 無駄な1回のSELECTを節約）。

User userRef = users.getReferenceById(me.id()); // ← ここではSELECTしない
var post = posts.save(new Post(userRef, content)); // ← INSERT時もUserは未ロードのまま

まとめ

• findByUsername → 即SELECT。ユーザーが必ず存在する前提なら「無駄なクエリ」になり得る。
• getReferenceById → SELECTせずに参照を返す。性能最適化できる。
• ただし「存在チェックを明確にしたい」なら findById/findByUsername が正しい選択。
• 「存在はすでにJWTで保証されている」なら getReferenceById がベスト。
  → 今回の設計では、getReferenceByIdを使う方が適している。

@Validated

• Springのバリデーションを有効化。
• このクラスのメソッド引数に@Validや@Min,@Sizeなどを付けると、Bean Validation (Jakarta Validation) が実行される。
• @RequestBody @Valid PostDtos.PostRequest req
  • リクエストボディを JSON → DTO に変換する。
  • @Validにより DTO のバリデーションルール（例：@NotBlank）が自動で実行される。
  • 不正な入力なら Spring が 400 Bad Request を返す。

処理の流れ

サービス呼び出し

PostDtos.PostResponse created = posts.create(me, req.content());

• 投稿サービスに処理を委譲。
• 認証済みユーザー me とリクエストの content を渡す。
• 戻り値は PostResponse DTO（投稿の情報）。

Locationヘッダーの生成

URI location = URI.create("/posts/" + created.id());

• RESTの慣習に従って、新しく作られたリソースのURIを /posts/{id} 形式で作る。

HTTPレスポンスの構築

return ResponseEntity.created(location).body(created);

• 201 Created を返す。
• Location ヘッダーに新しいリソースのURIをセット。
• レスポンスボディには作成された投稿のDTOをJSONで返す。

まとめると

• POST /posts → 201 Created を返す。
• Location ヘッダーを返して「作成リソースの場所」をクライアントに通知。
• 本文には作成されたオブジェクトを返す。

これは RESTのベストプラクティスに忠実な実装。

• 前のページの最後のデータを基準に、次のデータを取得するページング手法。
• データベースのクエリにおける カーソル (基準点) を使うので「カーソルページング」とも呼ばれる。

従来のページング (offset/limit)

-- 2ページ目（20件目から20件）
SELECT * FROM posts ORDER BY created_at DESC LIMIT 20 OFFSET 20;

• OFFSET で「先頭から20件スキップ」して21件目から取る。
• 問題点:
  • 遅い: 大量データがあると、最初の20件を捨てる計算が重い。
  • 不安定: 新しい投稿が入ると「同じページを再取得したときにデータがズレる」ことがある。

Keyset ページング

-- 前ページ最後の投稿が created_at= '2025-09-19 10:00:00', id=123 だった場合
SELECT * FROM posts
 WHERE (created_at < '2025-09-19 10:00:00'
     OR (created_at = '2025-09-19 10:00:00' AND id < 123))
 ORDER BY created_at DESC, id DESC
 LIMIT 20;

• 「ページ番号」ではなく「前回の最後のレコードの位置」を基準に次を取る。
• つまり カーソル (created_at と id) を持ち回してページングする。
• 特徴:
  • 速い: インデックスを効かせやすい（OFFSET を使わない）。
  • 安定: データが増えても結果がブレにくい。
  • 柔軟: 時系列フィードやSNSタイムラインに最適。

ObjectMapper の設定

private static final ObjectMapper MAPPER = new ObjectMapper()
        .registerModule(new JavaTimeModule())
        .disable(SerializationFeature.WRITE_DATES_AS_TIMESTAMPS);

• JavaTimeModule
  • OffsetDateTime/LocalDateTime など java.time の型を自然なISO-8601文字列で扱える。
• WRITE_DATES_AS_TIMESTAMPS を無効化
  • {"createdAt":"2025-09-19T10:00:00+09:00"} のような可読な文字列で出力（数値エポックではない）。
• スレッドセーフ
  • ObjectMapper は構成後はスレッドセーフ（読み書き並列OK）。static final で1個を使い回すのはGoodパターン。
  • 逆に動的にモジュール追加や設定変更をしない（クラス初期化時に完了させる）。

encode：JSON → URL-safe Base64

public static String encode(Cursor c) {
    try {
        var json = MAPPER.writeValueAsString(c);
        return Base64.getUrlEncoder().withoutPadding()
                .encodeToString(json.getBytes(StandardCharsets.UTF_8));
    } catch (Exception e) {
        throw new IllegalArgumentException("cursor encode error", e);
    }
}

• writeValueAsString で 厳密なJSON に直す（プロパティ順は未定義だが、decodeは順序非依存なので問題なし）。
• Base64.getUrlEncoder() は URLセーフ（+→-, /→_）になり、クエリにそのまま載せても壊れにくい。
  • .withoutPadding() は末尾の = を削る。
    • 短くなる & URL互換性が上がる（必須ではないが今風）。
• 文字コードは UTF-8 を明示（プラットフォーム依存を排除）。

例)
{"createdAt":"2025-09-19T10:00:00+09:00","id":123}
→ eyJjcmVhdGVkQXQiOiIyMDI1LTA5LTE5VDEwOjAwOjAwKzA5OjAwIiwiaWQiOjEyM30

decode：URL-safe Base64 → JSON → Cursor

public static Cursor decode(String token) {
    try {
        var json = new String(Base64.getUrlDecoder().decode(token), StandardCharsets.UTF_8);
        return MAPPER.readValue(json, Cursor.class);
    } catch (Exception e) {
        throw new IllegalArgumentException("cursor decode error", e);
    }
}

• Base64.getUrlDecoder() でURLセーフ版を逆変換（= が無くても復元できる実装）。
• UTF-8 文字列に戻し、Cursor.class へデシリアライズ。
• 例外は IllegalArgumentException に包む
  • コントローラ層で 400 Bad Request にマップしやすい。

• カーソルの中身は「ソートキー」だけに

  • Keysetの基準になる 順序保証フィールドの最小集合 を入れる：
    • 典型：createdAt DESC, id DESC なら createdAt と id
      → 他ユーザのカーソルを流用した情報漏洩リスクを抑制

• 日時の型は OffsetDateTime

  • Postgres timestamptz と相性が良く、オフセットを保持。
  • DBとアプリで同じ精度（秒・ミリ秒・マイクロ秒）を扱うこと。
    • DBがマイクロ秒、Javaがナノ秒を持つ場合は丸め/切り捨ての一貫性を決める。

TimelineItem

public record TimelineItem(Long id, Long userId, OffsetDateTime createdAt, String content) {
    public static TimelineItem from(Post p) {
        Long userId = (p.getUser() != null) ? p.getUser().getId() : null;
        OffsetDateTime createdAt = (p.getCreatedAt() != null) ? p.getCreatedAt(): null;
        return new TimelineItem(p.getId(), userId, createdAt, p.getContent());
    }
}

フィールド

• id: 投稿ID
• userId: 投稿したユーザのID
• createdAt: 投稿日時（OffsetDateTime）
• content: 投稿本文

from(Post p) ファクトリメソッド

• Postエンティティから TimelineItem に変換。
• p.getUser() や p.getCreatedAt() が null の可能性に備えてnull安全に変換しているのがポイント。
• エンティティ直返しを避ける理由：
  • 不要なカラムやリレーションを隠せる
  • APIの仕様変更に柔軟
  • セキュリティ（パスワードや内部カラムを返さない）

TimelineResponse

public record TimelineResponse(List<TimelineItem> items, String nextCursor) {
    public static TimelineResponse of(List<Post> posts, String nextCursor) {
        var list = posts.stream().map(TimelineItem::from).toList();
        return new TimelineResponse(list, nextCursor);
    }
}

フィールド

• items: 投稿リスト（TimelineItem の一覧）
• nextCursor: 次のページを取るためのカーソル文字列
  • opaque（中身が見えない）文字列 にするのがベストプラクティス。
  • つまりクライアントは「ただの文字列」として扱い、中身を解釈しない。
  • これによりサーバ側でフィールドを変えても互換性を保ちやすい。

of(List<Post>, String) ファクトリメソッド

• DBから取得した Post のリストを TimelineItem に変換し、nextCursor をセットして返す。
• サービス層で毎回 map(...).toList() を書く必要がなくなり、コードがすっきりする。

まとめ

• TimelineItem
  • 投稿1件をAPI用に変換したDTO。
  • エンティティをそのまま晒さず、必要な情報だけ抽出。
• TimelineResponse
  • 投稿リスト＋次カーソルを返すDTO。
  • 無限スクロールAPIの定番スタイル。
• 設計上の良い点
  • DTOをエンティティと切り離している（拡張性・安全性◎）
  • static from(...) / of(...) を使い変換ロジックを1箇所に集約
  • nextCursor を opaque文字列 にしている（安定したAPI設計）

public static TimelineItem from(Post p) { ... }

public static TimelineResponse of(List<Post> posts, String nextCursor) { ... }

ページサイズの調整

final int pageSize = Math.max(1, Math.min(size, MAX_SIZE));

• 1未満なら1件に矯正
• 100件以上要求されたら100件に矯正
  👉 不正な要求を防ぎ、サーバーの安定性を保つ。

カーソルの初期化

OffsetDateTime at = OffsetDateTime.now();
Long cid = Long.MAX_VALUE;

• 初期値として「今の時刻」と「最大のID」を使うことで、最新の投稿から取得する。
• Long.MAX_VALUE は Java における long 型の最大値 を表す定数。
  • long 型は 64bit の符号付き整数（範囲は -2^63 ～ 2^63-1）
  • Long.MAX_VALUE はそのうちの最大値 2^63 - 1
  • 値としては 9,223,372,036,854,775,807（約9京）になる
• 初期状態では 「最新の投稿」から取りたいので、ID（cid）には「最も大きな値」をセットしておく。
• こうしておくと、実際の投稿ID（1, 2, 3… と小さい数字）が必ず小さくなるので、「最新の投稿から順に取得する」というロジックが自然に動く。

既存のカーソルがある場合

if (cursorToken != null && !cursorToken.isBlank()) {
    Cursor c = CursorCodec.decode(cursorToken);
    at = c.at();
    cid = c.id();
}

• もし cursorToken が指定されていたら、復号して「その地点以降」を取得するように設定。
  👉 これが Keyset Pagination（カーソル方式ページネーション）の考え方。
  「○ページ目」ではなく「この投稿より前をください」と指定する。

DBアクセス → 対象のPostを取得

var posts = postRepository.compositeTimeline(meId, at, cid, pageSize);

@Query(value = """
    SELECT p.*
      FROM posts p
     WHERE (p.user_id = :me
            OR p.user_id IN (SELECT followed_id FROM follows WHERE follower_id = :me))
       AND (p.created_at, p.id) < (:cursorAt, :cursorId)
     ORDER BY p.created_at DESC, p.id DESC
     LIMIT :size
    """, nativeQuery = true)
List<Post> compositeTimeline(
            @Param("me") Long me,
            @Param("cursorAt") OffsetDateTime cursorAt,
            @Param("cursorId") Long cursorId,
            @Param("size") int size
    );

• compositeTimeline はリポジトリ側で createdAt と id を複合キーにしたクエリを実行する想定。（つまり「ある時刻・IDより前の投稿を取ってきてね」という問い合わせ）

次ページカーソルの生成

String nextCursor = null;
if (!posts.isEmpty()) {
    var last = posts.get(posts.size() - 1);
    nextCursor = CursorCodec.encode(new Cursor(last.getCreatedAt(), last.getId()));
}

• 取得結果の最後の投稿（＝次に繋げる起点）をカーソルに変換。
• これを次のリクエストに渡すと「さらに古い投稿」が取れる。

まとめると

1. ページサイズを安全に調整
2. cursorToken が無ければ「最新」から開始
3. cursorToken があればそこから続きを取得
4. DBに問い合わせ（compositeTimeline）
5. 結果の最後の投稿をもとに nextCursor を生成
6. 投稿リストと nextCursor を返却
   以上でKeyset Paginationによる無限スクロール対応のタイムラインAPIを実装している。

Service呼び出し

TimelineDtos.TimelineResponse resp =
        timelineService.getCompositeTimeline(me.id(), cursor, size);

• timelineService.getCompositeTimeline(...) を呼び出し、
  ユーザー自身のタイムラインを取得。

レスポンス返却

return ResponseEntity.ok(resp);

• ResponseEntity.ok(...) は HTTP 200 OK としてレスポンスを返す。
• 中身は TimelineResponse（DTO）なので、JSON 変換されてクライアントに返る。
• ResponseEntityの名前にある「Entity」はJPAのEntityとは関係ない。
  • Spring Web のクラスで「HTTPレスポンスを表す“エンティティ（実体）”」という意味。
  • HttpEntityを継承していて、その上に「HTTPステータス」や「ヘッダー」を持てるようにしたクラス。
  • つまり、ここでの「Entity」は “HTTPメッセージの実体” を指しているだけ。
  • コントローラが返すオブジェクトには
    • エンティティ（DBモデル） をそのまま返すのは避けるべき（セキュリティ・結合度の観点）
    • DTO（Data Transfer Object）を返すのがベストプラクティス
  • なので ResponseEntity<T> の T に DTO を入れるのが正解。
• @RestControllerでSpring MVCによりJacksonシリアライザを通して、DTO → JSON に変換してクライアントが受け取るのはJSONになる。