Для аутентификации используются signed cookies.
Запрос:

{
	"id":		"2640a5f8-a6dc-11e9-b0ee-17b204a815e0",
	"jsonrpc":	"2.0",
	"method":	"auth",
	"params": {
		"username":	"megasuperadmin",
		"password":	"ExamplePassword"
	}
}

Ответ:

{
	"id":		"2640a5f8-a6dc-11e9-b0ee-17b204a815e0",
	"jsonrpc":	"2.0",
	"result": {
		"code":		1,
		"message":	"authenticated"
		"data": {
			"cookie": {
				"APIEndpoint00":	"…"
			}
		}
	}
}

Кроме того, cookie передаётся и в заголовке set-cookie.
В дальнейшем использовании cookie нужно передавать в заголовке X-Session-Auth.