自建 JWT 身份驗證服務器 vs 身分即服務(IDaaS):你是在省授權費,還是買下全部風險?|專家論點【黃婉中】
作者:黃婉中(雲端架構師)
解析自建 JWT 認證的隱形風險,並從 TCO 與資安角度,說明為何多數企業更適合採用託管身分服務而非自行打造。
身為雲端架構師,我常在會議中聽到的技術方案是:「我們打算用 JWT (JSON Web Token) 自建認證系統,既彈性又免費。」這聽起來很專業、主流,但這時我都會問團隊一個問題:「如果這台負責簽發 JWT 的伺服器被駭客做了一個 Snapshot (快照),我們有什麼配套措施?」
延伸閱謮:如果你的Agent不能被「評估」,那它可能還沒準備好上線|專家論點【黃婉中】
一、 誰拿走了你的「印鈔機」?JWT 的隱形危機
要理解這個問題,我們得先跳脫技術名詞。你可以把 JWT 想像成一隻鑰匙,而認證伺服器(Identity Server)就是負責保管的鑰匙盒。
在「自建認證系統」的架構下,工程師會用一串長長的、保密的「私鑰」(Private Key)來簽署每一張發出去的 JWT。只要後端 API 看到這串 JWT 上的簽章是對的,就會無條件放行。
這看起來很完美,直到 Snapshot (快照) 出現。
在雲端維運中,「磁碟快照」是標準作業。然而,如果你是「自建」認證系統,這把重要的「私鑰」通常就存在伺服器的環境變數或記憶體中。一旦有心人士取得了這台伺服器的快照,就能在自己家裡打造出一模一樣的鑰匙。
這是一個很現實的資安盲點:駭客不需要攻破你的資料庫,你的系統就會毫無防備地打開大門。
二、物理級的安全:為什麼「託管服務」成為主流?
為了應對這種軟體層面的漏洞,業界的標準解法是將金鑰儲存在 HSM (硬體安全模組) 中。這是一個「只能進、不能出」的硬體晶片。
託管服務(IDaaS,Identity as a Service)無論是 Microsoft Entra ID、Okta 還是 Auth0,這些服務的核心價值在於背後的基礎設施。它們將簽章私鑰鎖在物理級的 HSM 中,即便伺服器被快照,私鑰也無法被帶走。
以 Entra ID 為例,那把負責簽章的私鑰是鎖在微軟機房的 HSM 晶片中的。當伺服器需要簽發 JWT 時,會把資料傳進晶片中,完成數位簽章(Digital Signature)後,再吐出來。即便駭客真的駭進了雲端節點、拍了快照,也帶不走私鑰。
這種「物理級隔離」與「自動金鑰輪替 」(Key Rotation),是多數企業自建系統時,受限於成本與人力難以做到的。這也是為什麼身分驗證逐漸從「自研開發」轉向「專業服務」的原因。
三、 破解 Netflix 迷思:大廠自建是因為「不得已」
很多工程師會問:「既然託管服務這麼好,為什麼 Netflix、Uber 這些大廠還要大費周章自建身分系統?」
大廠選擇自建,通常是基於兩個需求:
- 規模與成本:簡單來說就是「規模經濟」, 對於擁有數億使用者的 B2C 產品,IDaaS 的授權費會是一筆天文數字。當規模大到一定程度時,自建系統的研發和維運成本會低於授權費。
- 極端效能: 為了讓全球使用者在幾毫秒內完成驗證,大廠需要高度客製化的協議。
但對於多數的企業來說,我們並沒有 Netflix 的規模,也沒有等量的研發資源去處理 24 小時的資安維護。大廠的方案是「解藥」,但對多數企業來說可能是「毒藥」。
四、 架構師的算盤:從 Buy vs. Build 看 TCO
在決策「Buy vs. Build」時,我建議從 TCO (總持有成本) 來評估:
- 自建(Build): 看似免費,但你需要負擔 MFA 開發、密鑰管理、修補漏補、以及萬一出事時的企業信譽損失。
- 託管服務(Buy): 雖然有授權費,但你買到的是「合規性」與「風險轉移」。將最脆弱、風險最高的身分管理交給專門的公司(如微軟或 Okta)處理,讓你的團隊專注在核心業務上。
五、 小節與實務建議
身為在第一線接觸客戶的架構師,我見過不少選擇自建,最後卻在資安稽核或擴展性上踩坑的案例。
身分驗證不應該是展現技術複雜度的地方,它應該是系統的基礎。當你理解了快照風險與 HSM 的必要性,就能理解為什麼許多企業客戶都轉向專業託管服務。
下次討論架構時,我們可以多想一步:是要蓋一座自己的發電廠,還是只要按個開關就能有穩定的電力?
最後是我給你的 3 點小建議:
- 安全性考量: 若非得自建,請將私鑰存放在 Azure Key Vault 或 AWS KMS 這類的服務中,不要大喇喇放在伺服器裡。
- 決策基準: 使用者規模在百萬以下時,租用(IDaaS)通常比自建更划算且安全。
- 合規性: 若你的產業有 ISO 27001 或金融稽核需求,專業的託管服務能幫你省下大量的合規成本。
