ToonWebToken: Moderne Authentifizierungs-Tokens
Post-Quantum echt & IETF-konform
Ein kompaktes, mehrsprachiges Format für Authentifizierungs-Tokens, dessen Claims in TOON kodiert sind. HMAC-SHA256 (FIPS 198-1) v1 heute, ML-DSA-65 (FIPS 204) echt auf 14 SDKs für v2. Defensiv konstruiert: Anti-Replay, Anti-SSRF, Rate-Limiting, Widerruf, HMAC-verkettetes Audit-Log.
Warum ToonWebToken
Sechs Säulen, die TWT von JWT und vergleichbaren Formaten unterscheiden.
TOON-Format
Eine kompakte, menschenlesbare Kodierung, die bis zu ~40 % der Bytes eines JSON-Tokens einspart — und etwa 30 % weniger LLM-Tokens zur Inferenzzeit.
Post-Quantum echt
V1 liefert HMAC-SHA256 (FIPS 198-1). V2 nutzt echtes ML-DSA-65 (FIPS 204) — Keygen, Sign, Verify live auf 14 SDKs via liboqs, circl, BouncyCastle und noble-post-quantum.
UUID-v7-Identifikatoren
Zeitlich sortierbar, RFC-9562-konform. Bessere Datenbank-Lokalität als UUID v4 und eine saubere Nachvollziehbarkeit für Audit-Logs.
LLM-optimiert
~30 % weniger Tokens als JSON beim Durchlauf durch ein LLM-Gateway. Geringere Kosten, höherer Durchsatz, kürzere Prompts.
Tiefenverteidigung
Begrenzter TOON-Parser, Anti-Replay-Cache, Anti-SSRF-URL-Validator, Rate-Limiter, Honeypot-Detektor, Widerrufsdienst, HMAC-verkettetes Audit-Log. 81/81 AppSec-Remediation-Posten geschlossen.
IETF Internet-Draft v2
Draft-02 beschreibt HS256 (zwingend) und MLDSA65 (optional). 14 Implementierungen validieren byteweise reproduzierbare Testvektoren. Duale MIT/Apache-2.0-Lizenz.
TWT vs JWT im direkten Vergleich
Ein kompakter Überblick, was sich beim Umstieg auf TWT ändert.
| Aspekt | JWT | ToonWebToken |
|---|---|---|
| Wire-Format | JSON (geschwätzig) | TOON (~40 % kleiner) |
| Post-Quantum | Kein Standardweg | ML-DSA-65 echt auf 14 SDKs (FIPS 204) |
| SDK-Abdeckung | 3–5 Sprachen üblich | 16 Sprachen (6 prod + 8 zusätzlich + 2 Frontend) |
| Identifikatoren | UUID v4 (zufällig) | UUID v7 (zeitlich sortierbar) |
| LLM-Optimierung | Nicht optimiert | ~30 % weniger LLM-Tokens |
| Anti-Replay | Optional / ad hoc | Nativer Cache |
| Widerruf | Nicht nativ | Integrierter Dienst |
| Audit-Log | Extern | HMAC-verkettet, im SDK |
| Standardisierung | RFC 7519 | IETF Draft-02 (HS256 + MLDSA65) |
Token-Struktur
Ein ToonWebToken besteht aus drei Base64URL-kodierten Segmenten, die durch Punkte getrennt sind:
typ, alg, ver, kid, iat, exp, jti subject, claims, security, custom HMAC-SHA256 (v1) — ML-DSA-65 (v2, echt) Auf Standards aufgebaut
Loslegen
Wählen Sie das SDK passend zu Ihrem Stack, dekodieren Sie ein Beispiel-Token oder lesen Sie die Roadmap.