为什么选择 ToonWebToken
让 TWT 区别于 JWT 及类似格式的六大支柱。
📦
TOON 格式
一种紧凑且可读的编码,相对 JSON 令牌可减少最多约 40% 的字节,推理时的 LLM token 也减少约 30%。
🔐
后量子真实
V1 提供 HMAC-SHA256 (FIPS 198-1)。V2 使用真实 ML-DSA-65 (FIPS 204) — 密钥生成、签名、验证已在 14 个 SDK 上通过 liboqs、circl、BouncyCastle 和 noble-post-quantum 上线运行。
🆔
UUID v7 标识符
可按时间排序,符合 RFC 9562。比 UUID v4 拥有更好的数据库局部性,并为审计日志提供清晰的可追溯性。
🤖
LLM 优化
令牌通过 LLM 网关时,token 数比 JSON 少约 30%。成本更低、吞吐更高、提示更短。
🛡️
纵深防御
受限的 TOON 解析器、抗重放缓存、抗 SSRF 的 URL 校验器、限速器、蜜罐探测器、撤销服务、HMAC 链式审计日志。81/81 应用安全修复项已全部关闭。
📜
IETF Internet-Draft v2
Draft-02 描述了 HS256 (必选) 和 MLDSA65 (可选)。14 个实现验证了逐字节可复现的测试向量。MIT/Apache-2.0 双授权。
TWT 与 JWT 对照
采用 TWT 后会发生什么变化的简明视图。
| 维度 | JWT | ToonWebToken |
|---|---|---|
| 线上格式 | JSON (冗长) | TOON (约小 40%) |
| 后量子 | 无标准方案 | 14 个 SDK 上的真实 ML-DSA-65 (FIPS 204) |
| SDK 覆盖 | 通常 3–5 种语言 | 16 种语言 (6 生产 + 8 扩展 + 2 前端) |
| 标识符 | UUID v4 (随机) | UUID v7 (按时间排序) |
| LLM 优化 | 未优化 | LLM token 约减 30% |
| 抗重放 | 可选 / 临时方案 | 原生缓存 |
| 撤销 | 非原生 | 内建服务 |
| 审计日志 | 外部 | HMAC 链式,SDK 内建 |
| 标准化 | RFC 7519 | IETF Draft-02 (HS256 + MLDSA65) |
令牌结构
ToonWebToken 由三段以点分隔的 Base64URL 编码组成:
头部
typ, alg, ver, kid, iat, exp, jti 负载
subject, claims, security, custom 签名
HMAC-SHA256 (v1) — ML-DSA-65 (v2,真实) 建立在标准之上
NIST PQC
后量子密码学
OWASP Top 10
覆盖率 90+/100
RFC 9562
UUID v7
ISO/IEC 27000
信息安全