For alle public clients (mobilapp/SPA) så kreves det at mutual TLS benyttes slik at helsenorge kan binde disse mot utstedte tokens. Det må genereres et RSA-nøkkelpar som er unike per instans av applikasjonen, dvs. en mobilapp må minimum ved første gangs oppstart generere et nytt RSA-nøkkelpar som beskyttes med biometri/pinkode. MTLS må benyttes mot alle endepunkt bortsett fra /authorize.

Spesifikasjon

OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens (RFC 8705)

Mutual TLS

Spesifikasjon