menuDAT

DAT (Distributed Access Token)


Предпосылки создания DAT

Сегодня многие системы используют JWT, однако в реальных производственных средах существуют следующие структурные ограничения.
Для их устранения был разработан новый стандарт токена — DAT.

🧩 Фрагментация стандартов безопасности и отсутствие принудительного применения

JWT предоставляет стандарты шифрования, такие как JWE, однако их использование не является обязательным.
В результате многие среды разработки пропускают шифрование или передают данные нестандартными методами, что порождает уязвимости в безопасности.

🔑 Риски безопасности при использовании статических ключей

Ротация подписывающих ключей не является обязательной, поэтому один ключ нередко используется длительное время. Это может привести к полному краху системы безопасности при компрометации ключа; подобные инциденты уже происходили на крупных e-commerce платформах.

📉 Снижение производительности из-за накладных расходов

JWT выполняет разбор JSON при каждом запросе, что требует значительных ресурсов CPU. В высоконагруженных средах эти затраты на разбор могут стать серьёзным узким местом всей системы.


Основная философия DAT

DAT разработан по принципу: безопасность должна быть обязательной, а не опциональной, и производительность не может быть принесена в жертву.

⚡ Лёгкий и быстрый

expire.cid.plain.secure.signature

DAT имеет лёгкую структуру данных, как показано выше.

🔐 Принудительная безопасность

DAT физически разделяет области открытого текста (Plain) и зашифрованных данных (Secure) при передаче.
Конфиденциальная информация гарантированно шифруется, а весь процесс защищён стандартизированными алгоритмами (P256, AES-GCM и др.) через DatKey.

🔄 Принудительная ротация ключей

DatKey — ядро системы DAT — напрямую управляет жизненным циклом ключей, а также выпуском и истечением срока действия токенов.
Система спроектирована для регулярной ротации ключей на системном уровне, что полностью исключает «инциденты со статическими ключами» по причине халатности администратора.


Сравнение механизмов аутентификации

КатегорияDATJWTСессия
Метод аутентификацииРаспределённая верификацияРаспределённая верификацияЦентрализованная
Структура данныхRaw Bytes
(на основе фиксированного смещения)
JSON
(текст в формате ключ-значение)
Serialized Object
(сериализация объектов)
Механизм разбораПрямое отображение байтовых данныхТребует разбора JSON и приведения типовТребует десериализации объектов и I/O
ПроизводительностьМаксимальная (минимальные накладные расходы)Средняя (зависит от скорости обработки JSON)Низкая (сетевой/дисковый I/O)
ШифрованиеВстроено по умолчаниюТребует отдельной реализации JWE (сложно)Не применимо
Управление ключамиПринудительная системная ротацияТребует самостоятельной реализации (риск халатности)Не применимо
Срок действия ключаЯвно задан в спецификации ключаОпционально (бессрочно при отсутствии управления)Управляется центральным сервером