Les jetons Web JSON (JWT) sont utilisés par l'API SAS Portal de deux manières:
- Pour faciliter la validation de l'identité au CPI
- Permettre aux utilisateurs non-CPI d'installer des CBSD nécessitant l'installation du CPI.
Lors de la validation de l'identité au CPI, le CPI est invité à créer un JWT à partir d'un secret généré par l'API SAS Portal. Dans ce cas, le CPI utilise sa clé privée pour créer le JWT.
À l'inverse, les non-CPI peuvent utiliser l'API SAS Portal pour créer une configuration d'appareil à partir d'un JWT créé par un CPI. Dans ce cas, le jeton JWT contient les paramètres d'enregistrement CBSD, et le CPI utilise sa clé privée pour le créer.
Le standard JWS (JSON Web Signature) est défini dans le RFC 7515, et l'API SAS Portal accepte les algorithmes de signature ES256 et RS256.