For alle public clients (mobilapp/SPA) så kreves det at mutual TLS benyttes. Mutual TLS sertifikatet må være unikt per instans av klienten, det betyr at f.eks. en mobilapp må generere opp dette ved første gangs oppstart eller pålogging, det må sikres ved bruk av biometri/pin og benyttes mot alle endepunkter bortsett fra /authorize. Helsenorge vil benytte dette til å binde utstedte tokens mot MTLS-sertifikatet.

Spesifikasjon

• OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens (RFC 8705)