La API del SAS usa los tokens web JSON (JWT) de dos maneras:
- Para ayudar con la validación de identidad de CPI.
- Permite que otros usuarios no utilicen CPI y instalen CBSD que requieran instalación de CPI.
Durante la validación de identidad de CPI, se le solicita que cree un JWT a partir de un secreto generado por la API del portal de SAS. En este caso, el CPI usa su clave privada para crear el JWT.
Como alternativa, las entidades que no usan CPI pueden usar la API del portal de SAS para crear una configuración de dispositivo a partir de un JWT creado por un CPI. En este caso, el JWT contiene parámetros de registro del CBSD y el CPI usa su clave privada para crear el JWT.
El estándar de firma web JSON (JWS) se define en RFC 7515 y la API del portal de SAS admite los algoritmos de firma ES256 y RS256.