Benyttes for å hente et nytt access-token basert på authorization-code
Spesifikasjoner
The OAuth 2.0 Authorization Framework - Access Token Request
JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants (benyttes kun for confidential clients)
Proof Key for Code Exchange by OAuth Public Clients (påkrevd for både public og confidential clients)
Request
POST https://{miljø}/sts/oidcprov/v3/token
Mutual TLS kreves hvis klienten er satt opp til å kreve MTLS.
Plassering | Navn | Type | Beskrivelse |
---|---|---|---|
Body | client_id | string | Påkrevd for public clients, benyttes ikke for confidential clients |
client_assertion_type | string | Påkrevd for confidential clients, skal ha verdien “urn:ietf:params:oauth:client-assertion-type:jwt-bearer” | |
client_assertion | string | Påkrevd for confidential clients, benyttes ikke for public clients. | |
grant_type | string | Påkrevd, skal ha verdien "authorization_code" | |
code | string | Authorization code mottatt fra /Authorize-endepunktet | |
code_verifier | string | PKCE, samme verdi som ble sendt inn til /par eller /authorize-endepunktet men uten SHA-256 hash. | |
redirect_uri | string | Samme verdi som ble sendt inn til /par-eller /authorize-endepunktet |
Response - Vellykket
Plassering | Navn | Type | Beskrivelse |
---|---|---|---|
Body | access_token | string | AksessToken som må benyttes i eventuelle etterfølgende API-kall til Helsenorge. |
id_token | string | IdToken med informasjon om innlogget- og eventuelt representert innbygger. Se: ID token | |
token_type | string | “ | |
refresh_token | string | Er med dersom klienten har bedt om slikt (dvs. scope = “offline_access" i request til PAR-endepunktet OG at klienten er konfigurert på Helsenorge med at den kan få Refresh-token. NB! refresh_token har initielt samme levetid som access_token. Utvidelse av levetiden på refresh_token må gjøres gjennom endepunktet /extend. | |
expires_in | int | Hvor lenge access_token og (initielt) refresh_token er gyldig. | |
scope | string | Returnerer de samme scope som klienten ga inn som parametere til PAR-endepunktet. |
Response - Feilet
Plassering | Navn | Verdi |
---|---|---|
Body | error | |
error_description |
Mulige feilkoder
HTTP-status kode | Feilkode | Beskrivelse |
---|---|---|
400 | invalid_request | The request is missing a required parameter, includes an |
400 | invalid_client | Client authentication failed (e.g., unknown client, no |
400 | invalid_grant | The provided authorization grant (e.g., authorization |
400 | unauthorized_client | The authenticated client is not authorized to use this |
400 | unsupported_grant_type | The authorization grant type is not supported by the |
400 | invalid_scope | The requested scope is invalid, unknown, malformed, or |
503 | The authorization server is currently unable to handle |