For alle public clients (mobilapp/SPA) så kreves det at mutual TLS benyttes slik at helsenorge kan binde disse mot utstedte tokens. Det må genereres et RSA-nøkkelpar som er unike . Mutual TLS sertifikatet må være unikt per instans av applikasjonen, dvsklienten, det betyr at f.eks. en mobilapp må minimum generere opp dette ved første gangs oppstart generere et nytt RSA-nøkkelpar som beskyttes med biometri/pinkode. MTLS må eller pålogging, det må sikres ved bruk av biometri/pin og benyttes mot alle endepunkt endepunkter bortsett fra /authorize. Helsenorge vil benytte dette til å binde utstedte tokens mot MTLS-sertifikatet.

Spesifikasjon

• OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens (RFC 8705)