なぜ ToonWebToken か
TWT を JWT などの形式と区別する 6 つの柱。
📦
TOON 形式
コンパクトで人間が読める符号化により、JSON トークンと比較して最大約 40% のバイトを削減し、推論時の LLM トークン消費もおよそ 30% 削減します。
🔐
ポスト量子リアル
V1 は HMAC-SHA256 (FIPS 198-1) を提供。V2 はリアル ML-DSA-65 (FIPS 204) — liboqs、circl、BouncyCastle、noble-post-quantum 経由で 14 SDK にて鍵生成、署名、検証が稼働。
🆔
UUID v7 識別子
時間順にソート可能で RFC 9562 に準拠。UUID v4 よりデータベース局所性に優れ、監査ログのトレーサビリティも明快。
🤖
LLM 最適化
LLM ゲートウェイ経由でトークンを扱う際、JSON より約 30% 少ないトークン数。コスト低減、スループット向上、プロンプト短縮。
🛡️
多層防御
上限付き TOON パーサー、アンチリプレイキャッシュ、アンチ SSRF URL バリデーター、レートリミッター、ハニーポット検出、失効サービス、HMAC 連結の監査ログ。AppSec 是正項目 81/81 を完了。
📜
IETF Internet-Draft v2
Draft-02 は HS256 (必須) と MLDSA65 (任意) を規定。14 の実装がバイト単位で再現可能なテストベクトルを検証。MIT/Apache-2.0 デュアルライセンス。
TWT と JWT の比較
TWT を採用すると何が変わるかをコンパクトに俯瞰。
| 観点 | JWT | ToonWebToken |
|---|---|---|
| ワイヤー形式 | JSON (冗長) | TOON (約 40% 小さい) |
| ポスト量子 | 標準的経路なし | 14 SDK で ML-DSA-65 リアル (FIPS 204) |
| SDK カバレッジ | 通常 3〜5 言語 | 16 言語 (本番 6 + 追加 8 + フロントエンド 2) |
| 識別子 | UUID v4 (ランダム) | UUID v7 (時間順) |
| LLM 最適化 | 最適化なし | LLM トークン約 30% 削減 |
| アンチリプレイ | 任意 / 個別実装 | ネイティブキャッシュ |
| 失効 | ネイティブ非対応 | 組み込みサービス |
| 監査ログ | 外部 | HMAC 連結、SDK 内蔵 |
| 標準化 | RFC 7519 | IETF Draft-02 (HS256 + MLDSA65) |
トークンの構造
ToonWebToken はドットで区切られた Base64URL 符号化の 3 セグメントで構成されます:
ヘッダー
typ, alg, ver, kid, iat, exp, jti ペイロード
subject, claims, security, custom 署名
HMAC-SHA256 (v1) — ML-DSA-65 (v2、リアル) 標準を基盤に
NIST PQC
ポスト量子暗号
OWASP Top 10
カバー率 90+/100
RFC 9562
UUID v7
ISO/IEC 27000
情報セキュリティ