El JWT se utilizará para validar todas las llamadas a la API.
El JWT se firma utilizando el token con el algoritmo HS256. Cuando se realiza la solicitud, BFY obtendrá el token del token_id y validará que la cabecera y el cuerpo de la solicitud están presentes y firmados usando el token.
El JWT va en la cabecera de la petición bajo la clave Authorization.
Por razones de seguridad este JWT debería tener un tiempo de validez muy limitado, esto reducirá la posibilidad de que un JWT sea utilizado en más de una operación. Idealmente el JWT debería ser construido antes de la llamada a la API y tener una duración no superior a 1m.