For alle public clients (mobilapp/SPA) så kreves det at mutual TLS benyttes slik at helsenorge kan binde disse mot utstedte tokens. Det må genereres et RSA-nøkkelpar som er unike per instans av applikasjonen, dvs. en mobilapp må minimum ved første gangs oppstart generere et nytt RSA-nøkkelpar som beskyttes med biometri/pinkode. MTLS må benyttes mot alle endepunkt bortsett fra /authorize.
...