Migrate to github.com/golang-jwt/jwt

[motoki317]

github.com/golang-jwt/jwt を使う

1. コード中のimportもgolang-jwt/jwtに変えてみようとする
2. go.sumにまだ古いdgrijalva/jwt-goが残っているのに気づく → echoが古い方にまだ依存していた ref use github.com/golang-jwt/jwt labstack/echo#1916
3. これに対処するためMIGRATION_GUIDE.mdに従って、コード中のimportは変えずgo.modのreplace directiveで対応しようとした
4. go mod tidyをすると以下が出てダメ

❯ go mod tidy
go: finding module for package github.com/golang-jwt/jwt/test
go: finding module for package github.com/golang-jwt/jwt
go: finding module for package github.com/golang-jwt/jwt/request
go: found github.com/golang-jwt/jwt in github.com/golang-jwt/jwt v3.2.1+incompatible
go: found github.com/golang-jwt/jwt/request in github.com/golang-jwt/jwt v3.2.1+incompatible
go: found github.com/golang-jwt/jwt/test in github.com/golang-jwt/jwt v3.2.1+incompatible
go: github.com/golang-jwt/[email protected]+incompatible used for two different module paths (github.com/dgrijalva/jwt-go and github.com/golang-jwt/jwt)

†やばい事†が起こっていそう

ref #1159

[motoki317]

移行するときallowedlist.yamlからCVEを取り除く

[motoki317]

もしくは、echoもtraQも該当コードを使用していない & dgrijalva/jwt-goに依存しているのが(今の所)echoだけなので、諦めて↓押しても良いかもしれない