6. Key Identification (Identification de clé)

Le destinataire d'un JWS doit être capable de déterminer la clé qui a été utilisée pour l'opération de signature numérique ou de MAC. La clé utilisée peut être identifiée en utilisant les méthodes de paramètres d'en-tête (Header Parameter) décrites dans la section 4.1 ou peut être identifiée par des moyens extérieurs à cette spécification. Plus précisément, les paramètres d'en-tête « jku », « jwk », « kid », « x5u », « x5c », « x5t », et « x5t#S256 » peuvent être utilisés pour identifier la clé utilisée. Si les informations transmises par ces paramètres d'en-tête doivent être utilisées dans les décisions de confiance, alors ces paramètres doivent (MUST) être protégés en intégrité ; cependant, si la seule information utilisée dans les décisions de confiance est la clé, alors ces paramètres n'ont pas besoin d'être protégés en intégrité, car les modifier de manière à entraîner l'utilisation d'une clé différente entraînera l'échec de la validation.

Les producteurs devraient (SHOULD) inclure suffisamment d'informations dans les paramètres d'en-tête pour identifier la clé utilisée, sauf si l'application utilise une autre méthode ou convention pour déterminer la clé utilisée. Lorsque l'algorithme utilisé nécessite une clé (ce qui est le cas pour tous les algorithmes sauf « none ») et que la clé utilisée ne peut pas être déterminée, la validation de la signature ou du MAC échouera.

Les méthodes d'échange de toutes les clés symétriques partagées utilisées dépassent le cadre de cette spécification.

Voir également l'annexe D pour des notes sur les algorithmes de sélection de clés possibles.