اليوم، تعتمد أنظمة كثيرة JWT، لكن توجد قيود هيكلية في بيئات الإنتاج الفعلية كما يلي.
لحل هذه المشكلات، تم تصميم مواصفات الرمز الجديدة DAT.
يوفر JWT معايير تشفير مثل JWE، لكن استخدامها ليس إلزامياً.
نتيجةً لذلك، تتجاهل كثير من بيئات التطوير التشفير أو تنقل البيانات بطرق غير قياسية، مما يؤدي إلى ثغرات أمنية.
نظرًا لأن تدوير مفاتيح التوقيع غير إلزامي، تُستخدم مفاتيح فردية لفترات طويلة. قد يؤدي ذلك إلى انهيار أمني كامل للنظام إذا تعرّض مفتاح للاختراق؛ وقد حدثت بالفعل حوادث اختراق على مواقع تجارة إلكترونية كبرى بسبب ذلك.
يمر JWT بعملية تحليل JSON لكل طلب، مما يستهلك موارد CPU كبيرة. في البيئات عالية الأداء، قد تصبح تكلفة التحليل هذه عنق الزجاجة الرئيسي للنظام بأكمله.
صُمِّم DAT وفق مبادئ أن الأمان يجب أن يكون إلزامياً وليس اختيارياً، وأن الأداء لا يمكن التنازل عنه.
expire.cid.plain.secure.signature
يتميز DAT ببنية بيانات خفيفة كما هو موضح أعلاه.
يفصل DAT فيزيائياً بين منطقتَي النص العادي (Plain) والمشفّرة (Secure) أثناء نقل البيانات.
يفرض أن المعلومات الحساسة يجب تشفيرها، وتُحمى العملية بأكملها بخوارزميات موحّدة (P256, AES-GCM, إلخ) عبر DatKey.
تُدير DatKey، قلب نظام DAT، دورة حياة المفاتيح مباشرةً إلى جانب إصدار الرموز وانتهاء صلاحيتها.
صُمِّمت لتدوير المفاتيح بانتظام على مستوى النظام، مما يمنع جذرياً «حوادث أمان المفاتيح الثابتة» الناجمة عن إهمال المسؤولين.
| التصنيف | DAT | JWT | Session |
|---|---|---|---|
| طريقة المصادقة | التحقق الموزع | التحقق الموزع | مركزي |
| بنية البيانات | Raw Bytes (قائمة على إزاحة ثابتة) | JSON (قائمة على نص Key-Value) | Serialized Object (تسلسل الكائنات) |
| آلية التحليل | تعيين فوري لبيانات Byte | يتطلب تحليل JSON وتحويل الأنواع | يتطلب إلغاء تسلسل الكائنات وI/O |
| أداء المعالجة | الأعلى (أدنى حمل تحليل) | متوسط (يعتمد على أداء معالجة JSON) | منخفض (I/O شبكة/قرص) |
| التشفير | مدمج افتراضياً | يتطلب تطبيق JWE منفصلاً (معقد) | غير قابل للتطبيق |
| إدارة المفاتيح | تدوير نظام مفروض (أمان مُطبَّق) | يتطلب تطبيقاً مباشراً (خطر الإدارة المهملة) | غير قابل للتطبيق |
| فترة صلاحية المفتاح | مفروضة وصريحة في مواصفة المفتاح | اختياري (دائم إذا لم يُدَر) | يديره الخادم المركزي |