آج کل، بہت سے سسٹم JWT اپناتے ہیں، لیکن اصل پروڈکشن ماحول میں درج ذیل ساختی حدود موجود ہیں۔
ان مسائل کو حل کرنے کے لیے، نئی ٹوکن اسپیسیفیکیشن DAT ڈیزائن کی گئی۔
JWT نے JWE جیسے انکرپشن معیارات فراہم کیے ہیں، لیکن ان کا استعمال لازمی نہیں ہے۔
نتیجتاً، بہت سے ڈویلپمنٹ ماحول میں انکرپشن کو نظرانداز کیا جاتا ہے یا غیر معیاری طریقوں سے ڈیٹا منتقل کیا جاتا ہے، جس سے سیکیورٹی کمزوریاں پیدا ہوتی ہیں۔
چونکہ سگنیچر کی رولنگ لازمی نہیں ہے، اس لیے اکثر ایک ہی Key کو طویل عرصے تک استعمال کیا جاتا ہے۔ اگر کوئی Key چوری ہو جائے تو یہ پورے سسٹم کی سیکیورٹی کو تباہ کر سکتا ہے؛ درحقیقت بڑے ای-کامرس سائٹس پر اس وجہ سے سیکیورٹی واقعات پیش آ چکے ہیں۔
JWT ہر ریکوئسٹ پر JSON پارسنگ عمل سے گزرتا ہے جو کافی CPU وسائل استعمال کرتا ہے۔ ہائی پرفارمنس ماحول میں یہ پارسنگ لاگت پورے سسٹم کا بڑا رکاوٹ بن سکتی ہے۔
DAT اس اصول کے تحت ڈیزائن کیا گیا ہے کہ سیکیورٹی اختیاری نہیں بلکہ لازمی ہونی چاہیے، اور کارکردگی پر سمجھوتہ نہیں کیا جا سکتا۔
expire.cid.plain.secure.signature
DAT میں اوپر دکھایا گیا ہلکا پھلکا ڈیٹا ڈھانچہ ہے۔
DAT ڈیٹا منتقلی کے دوران پلین ٹیکسٹ (Plain) اور انکرپٹڈ (Secure) علاقوں کو جسمانی طور پر الگ کرتا ہے۔
یہ لازمی بناتا ہے کہ حساس معلومات کو انکرپٹ کیا جائے، اور پورا عمل DatKey کے ذریعے معیاری الگورتھمز (P256، AES-GCM وغیرہ) سے محفوظ ہوتا ہے۔
DAT سسٹم کا مرکز DatKey، ٹوکن کے اجراء اور میعاد ختم ہونے کے ساتھ ساتھ کی کا لائف سائیکل بھی براہ راست منظم کرتا ہے۔
یہ سسٹم لیول پر وقتاً فوقتاً کیز کو گھمانے کے لیے ڈیزائن کیا گیا ہے، اور منتظم کی غفلت سے 'Static Key سیکیورٹی واقعات' کو بنیادی طور پر روکتا ہے۔
| درجہ بندی | DAT | JWT | Session |
|---|---|---|---|
| تصدیق کا طریقہ | تقسیم شدہ تصدیق | تقسیم شدہ تصدیق | مرکزی |
| ڈیٹا ڈھانچہ | Raw Bytes (Fixed Offset پر مبنی) | JSON (Key-Value ٹیکسٹ پر مبنی) | Serialized Object (آبجیکٹ سیریلائزیشن) |
| پارسنگ طریقہ کار | Byte ڈیٹا کی فوری میپنگ | JSON پارسنگ اور ٹائپ کاسٹنگ کی ضرورت | آبجیکٹ ڈی سیریلائزیشن اور I/O |
| پروسیسنگ کارکردگی | سب سے زیادہ (کم سے کم Parse Overhead) | درمیانہ (JSON پروسیسنگ کارکردگی پر منحصر) | کم (نیٹ ورک/ڈسک I/O) |
| انکرپشن | ڈیفالٹ فراہم | الگ JWE نفاذ کی ضرورت (پیچیدہ) | قابل اطلاق نہیں |
| کی مینجمنٹ | لازمی سسٹم رولنگ (لازمی سیکیورٹی) | براہ راست نفاذ کی ضرورت (لاپرواہ انتظام کا خطرہ) | قابل اطلاق نہیں |
| کی کی مدت | کی اسپیک میں لازمی واضح | اختیاری (بغیر انتظام کے مستقل) | مرکزی سرور کا انتظام |