Denne mekanismen benyttes når det først er gjort et sømløst uthopp fra Helsenorge (se 1. Sømløst uthopp - Helsenorge som OpenID Connect provider for detaljer). Klienten kan da få et AccessToken som gir tilgang til å kalle Helsenorge APIer. Dette er typisk API for å lagre innbyggers kopi på Helsenorge eller hente ut relevant informasjon fra Helsenorge.
For detaljer om endepunkt for det enkelte API og deres kontrakt, henvises til beskrivelsen av det enkelte API. Accesstoken man har fått fra Sikkerhetstjenesten inkluderes i HTPP-headeren i tjenestekallene til API'ene.
API'ene på Helsenorge har følgende generelle URL: https://eksternapi.helsenorge.no/<[Løsningsområde]>/<Tjeneste>
Eks på bruk av AccessToken i API-kall:
curl -X POST \
-H "Content-Type: application/json" -H "Authorization: Bearer <access_token>"\
-d '{"<Key1>": "<Value1>", ...}' \
<URL til tjeneste>
Dersom man benytter et AccessToken som hår gått ut på tid, vil man få HTTP-error respons: 403 Forbidden
Dersom dette skjer må det eksterne systemet gjennomføre en ny Autentisering mot sikkerhetstjenesten og få nytt AccessToken (Det støttes med andre ord ikke såkalte RefreshTokens).