为什么我停止从头重建 auth，而改为构建通用信任层

Source: Dev.to

我得承认：我曾为自己构建定制身份验证系统而感到自豪。每一个新的 SaaS 或客户项目都意味着要新建数据库、编写 JWT 中间件、处理密码重置、OAuth 回调以及速率限制。这让我觉得自己在做“真正的工程”。

直到我意识到，我在写任何业务逻辑之前，已经在管道上浪费了 2‑3 个月的跑道时间。

更糟的是？这些替代方案并没有解决核心的架构问题。Auth0 在规模化时把我逼出了预算。Firebase 把我的整个数据库锁进了 Google 生态系统。Supabase 把我绑在 PostgreSQL 上。而且大家仍然依赖将 JWT 暴露给客户端浏览器，打开了 XSS 会话窃取的大门。

架构陷阱

授权、认证与业务逻辑的混合如何产生单体技术债务。

JWT 幻象

为什么客户端 JWT 是一个计时炸弹（延迟撤销、算法混淆、XSS 暴露）。

Docker 并不是在卖容器；它定义了一个标准。REST 定义了 API。应用后端需要一个信任的标准。

引入信任层标准

我们不需要高度耦合的认证产品。我们需要一种无状态架构，让客户端只持有一个毫无意义的 session_id，所有信任验证全部在后端通过密码学验证的 Trust Token 完成。

自由架构

有了信任层，你的后端只剩业务逻辑。你可以使用任何语言（Node、Python、Go），并通过更改一个环境变量就能从 PostgreSQL 切换到 LibSQL（我们支持大多数数据库），甚至实现自带设备（BYOD）和零锁定。

• 停止为重建基础设施支付持续的税收。
• 停止把你的应用锁定在封闭生态系统中。

你可以在 5 分钟内使用我们的信任层进行构建，克隆一个入门仓库，并永远拥有自己的代码。