前口上

アメリカで就職できなかった。華々しい成功譚は見かけるが、夢と散った話はあまり表に出てこない。

なんというか「三振したバッターが相手ピッチャーのことを語る」みたいでまるっきり時間の無駄かもしれないが、もしかしたら参考になる人もいるかも知れないし、実際に就職した人に「お前のアプローチはまったく的外れだ」と言われるかも知れない。僕も何が悪かったのか教えてもらいたい気持ちもあるし、迷ったがこのエントリを公開する。

ちなみにめっっっっちゃ長いので、要点だけ知りたい人は、アメリカで就職するにはとにかく

就労ビザ＞技術力＞学歴＞＞＞＞＞＞＞＞＞＞＞＞（越えられない壁）＞英語力

だというのだけお伝えできればと思う。

アメリカで働くために英語を頑張るぐらいなら、それより大学（院）に入り直してコンピュータサイエンスの学位をとり*1、同時に技術力を磨くほうがよほど近道だと感じた。

それから、現職の同僚はこのエントリをみて微妙な気持ちになると思うので、その点について最後に「現職について」で補足する。

秋風五丈原

じいちゃんが死んだ。大正・昭和・平成の3つの時代を生き、たくさんのひ孫に囲まれて90年超の幸せな人生を脱稿した。しかしそれでもなおこのことは僕にはショックだった。「あー人生ってマジで1回なんだ。知ってたけど知らなかったわー」という感じ。

漠然とした概念としての死が、自分の人生が必ず最後に到達する終着駅だとやっと実感をもって気付いた。

ここで僕は、やりたいことはとにかく何でも試してやりきってから死のうと決めた。そのとき思いついたのが「アメリカでソフトウェア技術者として通用するか試したい」ということだった。僕にはそれに至るちゃんとしたロジックとかはなくて、とにかく自分の目で見て自分の足でアメリカの大地を踏みしめ、自分の鼻でSFの雑踏のマリファナまみれの風を吸い込み、自分の手でソフトウェア技術者としての痕跡を残したかった。

ちょうどその頃堤修一さんのフリーランスを休業して就職しますというエントリを発見したり、身近な何人かのプログラマが渡米したりして僕もあのようになりたいとトランペット少年のように思った。早速Creators Learning English Meetupというイベントに帰国中の堤さんが登壇されるということで、突撃して彼を捕まえて質問攻めにした。

それから具体的な就職活動について考えた。

就職活動

どうしていいかさっぱりわからなかった。どこに応募したらいいのか分からない。

とりあえずこの時はアホだったので、さる世界的な多国籍企業の東京支社にソフトウェア技術者として応募した。なんか、そのうち転籍でもできるんじゃとか思ったのである。いま振り返ると筋が悪すぎる。

ちなみに割と早い段階で早々に落とされた。ただこの経験はしておいてよかったなと後に思う。ここの面接でアメリカ企業というのは基本的にコンピュータサイエンスの基礎力を応募者に強く求めるということがわかったからだ。

それからもしばらくは具体的なアクションが起こせず、うーんどうしたらいいんだ？とかつまらないことを考えていたんだけど、事件が起きる。ある日LinkedInに海外企業のリクルーターから「当社のSenior Android Engineer職に興味はないか？」と直接コンタクトが来たのである。

この会社は事前に課題として、実際にその会社のフラッグシップアプリで問題が起こりやすい部分をスマートに解決するための簡易な実装を提出するように求めてきた。僕は自分が優秀であるとアピールするために、組み込みライブラリを組み合わせればまあサラッとできそうなものをわざわざ自前でドバーッと書いて提出したところ、採用担当者はこれを痛く気に入ってめでたく本面接に進むことができた。

面接はすべてSkypeやGoogle Hangoutsを使ってリモートから英語でなされた。この時も英語なんてカタコトかつ単語の羅列で何の問題もなくて、とにかくコーディングにつぐコーディングだった。ある人は整列や探索の簡単なアルゴリズム*2の実装を求めてきたし、HashMapがどう実装されているかかなり踏み込んだ説明*3を求めてきたりしたし、あるいはわざと罠を仕込まれた作りかけのAndroidアプリを共有されて、画面共有ツールで僕がどうやって正しい実装にたどり着くか監視されたりした。

この会社は2人ぐらい突破したんだけど、その後急にリクルーターが代わって

「ところでビザのステータスは？」

「え？ステータスとは？君たちがサポートしてくれると思ってた」

「うーん残念だけどいまはUSの就労ビザはサポートできないんだ」

と言われてなんとそこですべてのプロセスが終わってしまった。

このときもしかしてビザとはとんでもなく重要な要素なのでは…？と初めて気付いた。

ビザ

それからアメリカの就労ビザについて色々調べた。僕がお世話になる可能性のあるビザは次の3つ*4だ。

• H1B（専門職ビザ）
• L1（駐在員ビザ）
• E2（投資家、またはそれを補佐する専門職ビザ）

H1B

専門職ビザの花形である。米国の企業が発行する。

米国はITの聖地であり、技術者は全然足りていないんだそうで「その足らない技術者を海外の人材で賄うため」というお題目でGoogleとかMicrosoftみたいな世界に冠たるIT企業はH1Bをバンバンサポートしてくれるらしい。

就労する業務に深く関連のある学士以上の学位を持っている必要がある。望むらくは修士以上。博士は優遇される。

L1

日本企業の社員が駐在員として米国支社に転籍するような場合に発行してもらえるビザ。その会社に1年以上在籍している必要がある。

日系企業がアメリカ支社に社員を送り込む際の最も一般的な方法のひとつ。

E2

日本の起業家が自分自身に投資してアメリカで起業したり、それを補佐する専門職者に対して発行される可能性があるビザ。L1と違って最低在籍期間のようなものがなく、すぐに発行することが可能。

他にもトレーニングビザというものがあるらしいが、詳しいことは僕は知らない。

また、Diversity Programといって、アメリカが移民の多様性を推進するために移民の申請が少ない国の人を対象に申込者の中から純粋なるくじ引きを行って当選者には永住権の申請権を与えるという面白いプログラムがある。こちらはまさに運任せなのと当選率が低い*5ので参考程度に。

転機、そして内定

さて、その頃たまたまGoogle I/OでSFに行ったときにDeploy NIKUというイベントでお会いしたDrivemodeのCEOの古賀洋吉さんにどうやったらアメリカでソフトウェア技術者として採用されて就労ビザを発行してもらえるか相談したら、

「片っ端から応募しまくりました？してない？どうして？LinkedInとかで募集している会社に『初年度は給料はこのぐらいで我慢してやるから就労ビザだしてくれ』って100社ぐらいにメール送ったら5社ぐらい返事くれるんじゃないですか？」

と言われた。なるほど、ぼくは全然行動力が足りていなかったのだ。

それからちょっと気が楽になって、少しずつ友人のツテとかを頼ってアメリカの会社に応募するようになった。具体的には

• 僕がアメリカで働くことに興味があること
• 出向ではなくアメリカ企業からの直接雇用を望んでいること
• そのためにたとえば即時解雇のリスクがあることや試験内容が現地基準で難しくなっても問題ないこと
• その代わり待遇は現地基準にして欲しいこと

を伝えた。

また、同時にLinkedInのプロフィールを英語で充実させて、自分が経験豊富なプログラマであり転職の意志があることを明示した。具体的には

• 自分が経験のある言語、フレームワークを年数込みで列挙
• 転職に興味があること
• これらを英語で詳述

した。これはもっとも効果のある施策だった。

LinkedInは転職斡旋リクルーターからのコンタクトばかりくるが、1割ぐらい企業のHRが直に連絡を取ってくれる。リクルーターが「弊社に興味がないか？」と聞いてくるのは「試験を受けないか？」と言ってるだけなのでそれ自体に特に意味はないのだが、僕のように関連学位をもたない人間は書類審査でバンバン落とされるので、少なくとも相手企業のHRが連絡を取ってくれた場合は電話面接を受けることができる。そうすれば実力次第で次のステップにすすむ希望が生まれる。

実際に数ヶ月でヨーロッパのスタートアップから数社、アメリカのスタートアップから数社、国際的な多国籍企業からもいくつかInterviewのお誘いを受けた。ひとまずは友人のツテとこの中から興味のある3社ぐらいに絞って面接を受けた。

面接は相変わらずコンピュータサイエンスの基礎知識とアルゴリズムクイズが中心で、対策のしがいがあった。少なくとも、

• アルゴリズムクイックリファレンス等の本で「整列」「探索」「グラフ」あたりのアルゴリズムとデータ構造を理解しておく
• TopCoderのSRM Div2ぐらいのレベルのコーディングテストはスラスラ解けるようになっておく
• UNIX/Linuxの理解。権限、ユーザ管理、プロセス、スレッド、入出力、システムコールなど。詳解UNIXプログラミングとかふつうのLinuxプログラミングとかはおすすめ。

のような準備が有効だった。

そしてついに、行きたい会社から内定がもらえた。オファーレターを見てその金額や福利厚生に興奮したし、「いかなるときも当社都合で解雇できるものとする」というような内容に戦慄したりした。

挫折

内定はゴールではなかった。ビザがおりないのである。

ビザの手続きは先方の弁護士に任せていたのだが、H1Bが簡単にいかなそうで他に色々利用できる可能性はないか探っているようだった。これはたぶん本当で、向こうも採用という莫大なコストをかけて内定を出した候補者はどうにかして入社までこぎつかせたいようだった。

これは推測にしかすぎないが、自分の学位が足を引っ張ったのではないかと想像する。僕はコンピュータサイエンスの学位を持っていない。数学や物理学といった関連学位も持っていない。

アメリカは日本以上の学歴社会である。学歴がひとつの「免許」として機能している。「おれ無免許だけど車の運転うまいっす」とかいう奴を誰も相手にしないのと同じだ。これはとても健全なことだ。大学というのがきちんと社会の求める役割を果たしているのだ。H1Bが業務に関連する学位を必須条件として定めていることは非常に合理的だが僕にとっては悪いニュースだ。

もしかしたらトランプ政権もタイミングが悪かったのかもしれない。トランプ政権下では移民ビザをとにかく制限する方向に動いている。H1Bもアメリカ人の雇用を守るためにかなり厳しくなるという話だ。

先方の人事とやりとりしつつ半年待ったが「率直に言って、来年4月のビザは絶望的だ」という話を受けて、こちらから正式にお断りの連絡を入れた。こちらは4歳と0歳の子供がおり、僕の身の振り如何で保育園も妻の復職もすべてが左右される。いつまでも宙ぶらりんで居るわけにはいかなかった。無念だ。人生はままならぬ。

こうして僕のアメリカ就職は一旦頓挫することになった。

振り返り

とにかく就労ビザがどれだけ大切か思い知らされた。どれだけ面接でうまくやってもビザがなくては何も始まらないということがよくわかった。

学歴もかなり大切で、僕が安易に「自分が行けそうなところで偏差値が高い大学をなんとなく選ぶ。学部はどこでもいい」というようないい加減な高校生活を送ってしまったことを非常に強く後悔した。

突出した技術力や実績があればこれらは挽回のチャンスがあるが、僕のような凡人が凡人なりに就職するには大学の勉強とそこから必然的に導かれる就職先というストーリーは非常に大切だった。

家族のこともありしばらくはこういったアクションは起こさないが、もうあと5歳でも若ければコンピュータサイエンスの大学院を受けていたかもなーという感じ。

現職について

ここまで書いて、現職を辞めるわけでもないのによくもまあいけしゃあしゃあとこんなエントリを書けるなと呆れる向きもあるかも知れない。これには少しフォローを入れたい。

まず、僕は現職を非常に気に入っているし採ってもらったことを深く感謝している。優れたボスと同僚に恵まれ、プロジェクトはいつも創造意欲を掻き立てられるし、みんなメリハリをつけて働いていて余程のことがない限り残業もない。待遇も日本にいる限りにおいては申し分ない。

それとは別で「会社と従業員は対等だ」という僕のキャリア感がある。

僕は僕にしかなしえない技術力を提供し、会社はそれの対価として報酬を払う。僕は常にプライドを持って問題を解決し、素早くアプリをつくり、会社に貢献してきたつもりだ。そしてその度合というのは「勤続年数」で測られるものではないと思っている。

会社が僕に居て欲しいと思い、僕が会社に居たいと思う。両者の利害が一致して契約が持続される。これがシンプルで良いのではないか。

祖父の死でｶｯとなって色々足掻いてみたが、結局僕は現職に残ることを選んだ。そして会社はまだ僕に力を貸して欲しいと言ってくれる。もう少しお世話になります。

TL; DR

1. API16-19はデフォルトでTLS1.1, 1.2が有効になってないので適宜ONにしてやる
2. TLS1.1, 12を有効にしたとて、強いCipher suitesが使えるかは別問題

知ってる人は知っている。知らない人は覚えてね。

前口上

さて、iOS 9からTLS1.2が必須になったのは記憶に新しい。このタイミングで社内のAPIサーバの設定が変わって芋づる式に対応に追われたAndroiderも少なくないはずだ。

本件、僕自身もすぐ忘れるのでAndroid 4系(API16-19)のTLS1.1, 1.2対応について改めてまとめておきたい。

Default configuration for different Android versions に書いてあることが全てなんだけど、AndroidのAPIレベルとSSL/TLSの関係は次のとおりだ。

• SSLv3…使うな
• TLSv1…API 1からサポート、API 1から有効
• TLSv1.1…API 16からサポート、API 20から有効
• TLSv1.2…API 16からサポート、API 20から有効

TLS 1.0で検索すると、各社サポートを打ち切る方針を打ち出していることが分かる。

このタイミングで最低でもサポートするAPIレベルを16を下限としたいところだ。

サーバの設定を確認

さて、TLS 1.0を切ると決めたらApacheなりNginxなりでサポートするTLSのバージョンを設定するはずだ。ここではそれについては解説しない。ここではcurlコマンドでちゃんと設定が正しくなされているか確認してみる。

MacOSデフォルトのcurlはOpenSSLが組み込まれてないので再インストールする。

% brew install --with-openssl curl

% brew link curl --force

% cat<<'EOS'>>~/.zshrc
export CURL_HOME="/usr/local/opt/curl"
export PATH="$CURL_HOME/bin:$PATH"
EOS

% source ~/.zshrc

% curl --version | grep -i openssl
curl 7.57.0 (x86_64-apple-darwin16.7.0) libcurl/7.57.0 OpenSSL/1.0.2n zlib/1.2.8

これでOK。

curl -I --tlsv1.2 -s -v "https://your_server"

こんな感じで --tlsv1.1, --tlsv1.10 でそれぞれ試してみよう。

サポートしていないバージョンで

error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

みたいになればOK。

Android側でどうするか

で、Android側でどうするかが関心事だと思う。

ここではOkHttpをHTTPクライアントに使った場合に絞る。

まず、SSLSocketFactoryを拡張して、TLS 1.1, 1.2を有効にする以外はほとんど処理を元のクラスにdelegateするだけのファクトリクラスを作る。

private static class TLSSocketFactory extends SSLSocketFactory {

    private SSLSocketFactory internalSSLSocketFactory;

    public TLSSocketFactory() throws KeyManagementException, NoSuchAlgorithmException {
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, null, null);
        internalSSLSocketFactory = context.getSocketFactory();
    }

    @Override
    public String[] getDefaultCipherSuites() {
        return internalSSLSocketFactory.getDefaultCipherSuites();
    }

    @Override
    public String[] getSupportedCipherSuites() {
        return internalSSLSocketFactory.getSupportedCipherSuites();
    }

    @Override
    public Socket createSocket() throws IOException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket());
    }

    @Override
    public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket(s, host, port, autoClose));
    }

    @Override
    public Socket createSocket(String host, int port) throws IOException, UnknownHostException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port));
    }

    @Override
    public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port, localHost, localPort));
    }

    @Override
    public Socket createSocket(InetAddress host, int port) throws IOException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port));
    }

    @Override
    public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException {
        return enableTLSOnSocket(internalSSLSocketFactory.createSocket(address, port, localAddress, localPort));
    }

    private Socket enableTLSOnSocket(Socket socket) {
        if (socket != null && (socket instanceof SSLSocket)) {
            ((SSLSocket) socket).setEnabledProtocols(new String[]{"TLSv1.1", "TLSv1.2"});
        }
        return socket;
    }
}

次に、X509TrustManagerを取得する処理をコピペする。

private X509TrustManager getTrustManager() throws NoSuchAlgorithmException, KeyStoreException {
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
    if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
        throw new IllegalStateException("Unexpected default trust managers:" + Arrays.toString(trustManagers));
    }
    X509TrustManager trustManager = (X509TrustManager) trustManagers[0];
    return trustManager;
}

あとはいつもどおり。

ConnectionSpec spec = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS).build();
OkHttpClient okHttpClient;
try {
    okHttpClient = new OkHttpClient.Builder()
            .connectionSpecs(Collections.singletonList(spec))
            .sslSocketFactory(new TLSSocketFactory(), getTrustManager())
            .build();
} catch (KeyManagementException | NoSuchAlgorithmException | KeyStoreException e) {
    throw new RuntimeException(e);
}
return okHttpClient;

これでこのOkHttpClientを使ったHTTPリクエスト／レスポンスはTLS1.1, 1.2を使って行われる。

なお、Builder#sslSocketFactory に

Most applications should not call this method, and instead use the system defaults. Those classes include special optimizations that can be lost if the implementations are decorated.

と明記されているので、この部分を自前で書き換える場合はパフォーマンス上の不利に留意しつつ、 Build.VERSION.SDK_INT で条件式でくくったりする方が良さそうだ。

Cipher suites

冒頭で書いたように、TLS 1.1, 1.2に対応することと、充分に強度のあるCipher suitesを使えることは別問題である。

サーバ側で低APIレベルでは対応していないCipher suitesしか許容しない設定にした場合、本記事の内容を適用してもSSL Handshakeに（当然ながら）失敗する。

SSLSocket | Android Developers

を見て、どのCipher suitesを許容するかAPIチームと相談しつつ、最低APIレベルをどこで妥協するか決めるのが望ましそうだ。以上。

参考リンク

• https://developer.android.com/reference/javax/net/ssl/SSLSocket.html
• https://blog.dev-area.net/2015/08/13/android-4-1-enable-tls-1-1-and-tls-1-2/

• https://square.github.io/okhttp/3.x/okhttp/okhttp3/OkHttpClient.Builder.html#sslSocketFactory-javax.net.ssl.SSLSocketFactory-javax.net.ssl.X509TrustManager-

• https://github.com/square/okhttp/issues/2372
• https://github.com/square/okhttp/issues/1934

(お詫びと訂正)

本件、「思いもよらないCache」ではなく、RFCに示された通りの実装でした。以下に追記します。

RFC7234 4.2.2 Calculating Heuristic Freshness にすべて書いてあるので詳しくはそちらを参照して欲しいですが、サーバが文書の失効に関する明示的な情報を何も返さない場合、キャッシュは他のヘッダを用いてコンテンツの鮮度をヒューリスティック*1に設定するかもしれないとのことです。

RFC7234の当該項目にたとえば代わりに"Last-Modified"を用いることやヒューリスティックな計算結果は最大10%にすることなど何もかも説明がありました。つまりOkHttpがこのようなキャッシュ戦略を取ることは思いもよらないでも何でもなくRFCの勧告通りということです。お詫びして訂正します。

Twitterにて指摘してくださった @hydrakecat さんありがとうございました🙇

以下、それを踏まえてお読みください。追記ここまで。

 TL;DR

随分長いタイトルになったが、次の条件を満たす場合にOkHttpのCacheが思いもよらない挙動をする場合がある。

1. HTTPレスポンスに"Date", "Last-Modified"ヘッダが両方指定されている
2. HTTPレスポンスの"Cache-Control"ヘッダにno-cache, no-store, max-age=0*2 のいずれもが未指定
3. HTTPレスポンスの"Expires"ヘッダが未指定
4. "Date" - "Last-Modified" が長い期間（たとえば3日間）

このとき、端的に言うと、思いがけず長い期間Cacheが破棄されずネットワークリクエストすら送られずローカルのCacheを見続ける。

な…何を言っているのかわからねーと思うが、俺も何をされたのかわからなかったので順番に書いていく。

事の発端

そもそもこれに気付いたきっかけが、弊社アプリでCloudFrontに置いた小さな設定ファイルを見に行っている部分がファイルが更新されてもいつまで経っても再DLされず、よく観察してみるとリクエストすら飛んでないことが発覚したためだ。

ファイルにcurl -Iして見ると、たしかに"Cache-Control"ヘッダは設定が漏れている。

しかしOkHttpで"Cache-Control"ヘッダがない場合のキャッシュ戦略がどうなっているか、ソースを読むより方法がない。

CacheStrategy

OkHttpのキャッシュはCacheInterceptorという内部Interceptorによって制御されており、その名の通りCacheというクラスによってリクエストURLをキーにしたDiskLruCacheとして実装されている。*3

そしてCacheの動きを決める最も重要なクラスがCacheStrategyである。

CacheStrategyはこれからネットワークに向かっていくリクエストとヒットしたキャッシュエントリを受け取って色んなヘッダを見て、クラス名が表すとおりキャッシュ戦略を決定する。

まず、CacheStrategy.Factory がレスポンスヘッダをフィールドにマップしていく。

this.sentRequestMillis = cacheResponse.sentRequestAtMillis();
this.receivedResponseMillis = cacheResponse.receivedResponseAtMillis();
Headers headers = cacheResponse.headers();
for (int i = 0, size = headers.size(); i < size; i++) {
  String fieldName = headers.name(i);
  String value = headers.value(i);
  if ("Date".equalsIgnoreCase(fieldName)) {
    servedDate = HttpDate.parse(value);
    servedDateString = value;
  } else if ("Expires".equalsIgnoreCase(fieldName)) {
    expires = HttpDate.parse(value);
  } else if ("Last-Modified".equalsIgnoreCase(fieldName)) {
    lastModified = HttpDate.parse(value);
    lastModifiedString = value;
  } else if ("ETag".equalsIgnoreCase(fieldName)) {
    etag = value;
  } else if ("Age".equalsIgnoreCase(fieldName)) {
    ageSeconds = HttpHeaders.parseSeconds(value, -1);
  }
}

"Date"ヘッダが servedDate に、"Last-Modified"ヘッダが lastModifled に、"Expires"ヘッダが expires にマップされたのを覚えておいて欲しい。

次のCacheStrategy#get() とそこから呼ばれる getCandidate() がフィールドにマップされた値を元にキャッシュ戦略を組み立てる心臓部である。

long ageMillis = cacheResponseAge();
long freshMillis = computeFreshnessLifetime();

if (!responseCaching.noCache() && ageMillis + minFreshMillis < freshMillis + maxStaleMillis) {
  Response.Builder builder = cacheResponse.newBuilder();
  if (ageMillis + minFreshMillis >= freshMillis) {
    builder.addHeader("Warning", "110 HttpURLConnection \"Response is stale\"");
  }
  long oneDayMillis = 24 * 60 * 60 * 1000L;
  if (ageMillis > oneDayMillis && isFreshnessLifetimeHeuristic()) {
    builder.addHeader("Warning", "113 HttpURLConnection \"Heuristic expiration\"");
  }
  return new CacheStrategy(null, builder.build());
}

ここが問題のコードだ。

理解のために先に答えを書くと、

• ageMillis…レスポンスがどのくらい古くなったか
• freshMillis…キャッシュはどのくらいの期間新鮮か
• そしてキャッシュを使ってよく、age < fresh ならキャッシュは新鮮だとみなし、ネットワークリクエストすら行わない。

return new CacheStrategy(null, builder.build());

この第一引数がネットワークリクエストだが、これがnullだとCacheInterceptorがネットワークリクエストを一切行わない。

僕が疑問を持っているのがこの計算方法である。

cacheResponseAge()

レスポンスのageの計算をしているメソッドだ。この計算方法はRFC 2616 13.2.3 Age Calculationsに明示してある。*4

long apparentReceivedAge = servedDate != null
    ? Math.max(0, receivedResponseMillis - servedDate.getTime())
    : 0;
long receivedAge = ageSeconds != -1
    ? Math.max(apparentReceivedAge, SECONDS.toMillis(ageSeconds))
    : apparentReceivedAge;
long responseDuration = receivedResponseMillis - sentRequestMillis;
long residentDuration = nowMillis - receivedResponseMillis;
return receivedAge + responseDuration + residentDuration;

コンテンツが発行されてから実際に受信に要した時間を計算し、現時点までの経過時間を加算するなどしてageを計算している。*5

ここはいいだろう。

computeFreshnessLifetime()

キャッシュが新鮮だと考えられる期間を計算する。コメントを読むと

Returns the number of milliseconds that the response was fresh for, starting from the served date.

とのことで「コンテンツが発行されたときから考えて、レスポンスが新鮮だとみなされるミリ秒」という感じか。

CacheControl responseCaching = cacheResponse.cacheControl();
if (responseCaching.maxAgeSeconds() != -1) {
  return SECONDS.toMillis(responseCaching.maxAgeSeconds());
} else if (expires != null) {
  long servedMillis = servedDate != null
      ? servedDate.getTime()
      : receivedResponseMillis;
  long delta = expires.getTime() - servedMillis;
  return delta > 0 ? delta : 0;
} else if (lastModified != null
    && cacheResponse.request().url().query() == null) {
  // As recommended by the HTTP RFC and implemented in Firefox, the
  // max age of a document should be defaulted to 10% of the
  // document's age at the time it was served. Default expiration
  // dates aren't used for URIs containing a query.
  long servedMillis = servedDate != null
      ? servedDate.getTime()
      : sentRequestMillis;
  long delta = servedMillis - lastModified.getTime();
  return delta > 0 ? (delta / 10) : 0;
}
return 0;

冒頭の「特定条件」を見直していただければ分かるが、ここでは

} else if (lastModified != null
    && cacheResponse.request().url().query() == null) {

のブロックに入る。

なんとここでは、servedDate（要するにDateヘッダ）から lastModified（Last-Modifiedヘッダ）を引き、10で割って返している。10で割る…

当然だが、"Date"ヘッダと"Last-Modified"が非常に長い期間空いていると（いくら10%とはいえ）非常に長い期間になり、結果的にageを上回ってしまい、この期間ローカルのキャッシュしか見ない状態に陥ってしまう。

謎のRFC

コメントには次のようにある

As recommended by the HTTP RFC and implemented in Firefox, the
max age of a document should be defaulted to 10% of the
document's age at the time it was served. Default expiration
dates aren't used for URIs containing a query.

 HTTP RFCが勧告しFirefoxの実装が従っているように、ある文書のmax ageは文書が返されてから経過した時間の10%をデフォルトとすべきだ。

このRFCが何番の何項か分からないので、原文にあたりようがない。したがって現時点でこの仕様と実装が妥当なのか判断がつかない。

これについて何かご存知のかた、是非情報ください。

Cache-Controlヘッダが適切に存在する場合

"Cache-Control"ヘッダに

• max-age=0（というかageより小さければなんでも）
• no-cache, no-store

がある場合は、いずれもこの謎の計算式に到達せず、キャッシュは古いものとしてネットワークリクエストが送られる。

max-ageが計算したageより小さい場合とno-cacheの場合はETag（のための"If-None-Match"）ヘッダも正しく使われるし、no-storeの場合はヘッダに従ってキャッシュエントリの保存自体が行われない。

この辺はこれまでに挙げたクラスのソースコードを実際に見て欲しい。行数も少なく、シンプルに書かれているので読みやすい。

Date, Last-Modifiedヘッダ

この挙動に触れるまで、"Date"ヘッダと"Last-Modified"ヘッダについてきちんとRFCで読んだことがなかったので改めて読んでみた。

RFC2616 14.18 Date

要約すると、メッセージが生成された日時ということだ。（これはそのファイルが置かれた日時という意味ではないので注意）

ざっくりと、このHTTPレスポンスのボディが生成されてクライアントに向けて送出する直前ぐらいまでの時間のようだ。

サーバエラー等やNTPサーバが利用できないような状況を除いて、基本的に全てのHTTPレスポンスに付けなければならない。日本語訳はこちら。

RFC7232 2.2 Last-Modified

これは提供するコンテンツが最後に更新された日時だ。

更新されたという定義はコンテキストによるようで、それがファイルであればファイルの更新タイムスタンプかもしれないし、XMLやJSONの一部ならツリーの一部コンテンツ以下の更新を意味するかもしれない。

条件付きリクエストやキャッシュ鮮度によってネットワークトラフィックを軽減できるため、サーバはLast-Modifiedヘッダを返すべきである。

An origin server SHOULD obtain the Last-Modified value of the
representation as close as possible to the time that it generates the
Date field value for its response.

そしてここは個人的に重要だと思ったので引用したが、Last-Modifiedは可能な限りDateに近づけるようにすべきだと書いてある。正しく運用することでより正確なキャッシュ運用が可能だからだろう。日本語訳はこちら。

まとめ

まとめと言っても難しいな…特定のヘッダの組み合わせでOkHttpが思いもよらないキャッシュを持つというのを誰かに共有したかった。

敢えて教訓を挙げるならば、キャッシュして欲しくないコンテンツは正しく"Cache-Control"ヘッダを設定しようということだ。

弊社ではCloudFrontに置いたファイルを更新してもアプリがそれをいつまで経っても読みに行ってくれず、一体何が起こってるんだ！？とソースコードを読んでこのような挙動を発見した。

同じような運用をしている人は一度そのファイルにcurl -Iしてレスポンスヘッダを確認してみて欲しい。

最終的に少し発散してしまったが、computeFreshnessLifetime() の計算式がいかなる根拠によるものか未だに興味があるので、何かご存知のかたは教えてください。宜しくお願い申し上げます。