ID token

Owned by Lars-Erik Kindblad
Last updated: Aug 29, 2024 by sven.christiansen
2 min read

Spesifikasjon

Struktur

Plassering i JWT

claim

Beskrivelse

Plassering i JWT

claim

Beskrivelse

Header

alg

RS256

 

kid

“Key identifier” - unik identifikator for signeringsnøkkel brukt av helsenorge

 

typ

JWT

 

ver

2


Payload

aud

“audience” - client_id til klienten som er mottaker av dette tokenet.

 

acr

Sikkerhetsnivå, helsenorge støtter kun nivå 4 dvs. “4”

 

auth_time

Tidspunktet når brukeren logget inn på Helsenorge.

 

amr

Har verdien idporten.

 

iss

Identifikator for provideren som har utstedt tokenet. Har alltid samme verdi som ble returnert for “issuer” fra .well-known endepunktet.

NB! Denne er forskjellig for de forskjellige test-miljøene (og PROD)!

Eks TEST01: https://eksternapi.hn.test.nhn.no/sts/oidcprov/v3

 

sub

PseudoID GUID for innbyggeren/pasienten, unik per klient

 

pid

Fødselsnummer til representert innbygger/pasienten

 

name

Fullt navn (hvis representert; ellers innlogget)

 

given_name

Fornavn (hvis representert; ellers innlogget)

 

family_name

Etternavn (hvis representert; ellers innlogget)

 

middle_name

Mellomnavn (hvis representert; ellers innlogget)

 

birthdate

(nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer)

Fødselsdato til den personen man agerer på vegne av, dvs. enten representert innbygger eller innlogget innbygger dersom innbyggeren representerer seg selv.

Eks: "1986-07-10"

 

act_sub

PseudoID (GUID) for innlogget bruker, unik for klienten.

 

act_pid

Fødselsnummer til innlogget bruker.

 

act_name

Fullt navn (innlogget)

 

act_given_name

Fornavn (innlogget)

 

act_family_name

Etternavn (innlogget)

 

act_middle_name

Mellomnavn (innlogget)

 

act_birthdate

(nytt claim Q1-2024, for å understøtte at fødselsdato ikke lenger kan utledes av fødselsnummer)

Fødseldato til personen som gjør oppslaget, dvs. alltid innlogget innbygger

Eks: "2011-01-07"

 

act_type

segselv, foreldrerepresentasjon, fullmakt

 

nonce

Dette er med dersom “nonce” parameter ble sendt med inn til /par eller /authorize og har i så fall samme verdi som ble sendt inn til disse endepunktene.

 

exp

Utløpstidspunkt i UTC-tid, er 2 minutter fra iat. Klienten skal ikke akseptere tokenet etter dette tidspunktet.

 

iat

Tidspunkt for utstedelse av tokenet.

 

jti

jwt id - unik identifikator for det aktuelle Id tokenet.

 

sid

sesjonsid - en unik identifikator for brukerens sesjon med Helsenorge OIDC Provider. Kryptografisk sikker

 

nbf 

 Tokenet er ikke gyldig før dette tidspunkt.

Eksempel

Encoded

eyJhbGciOiJSUzI1NiIsImtpZCI6IkU5RTBGQzM3NDhFNDdCNjVFOERENUFFMDk1QzRBOTU5NTM1MkU0QTMiLCJ0eXAiOiJKV1QiLCJ2ZXIiOiIyIn0.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.VLeVYUgNYvosZqTs50ou9l1T7uqYbY8wnGAgLcdEjQlKzx_whP3TiWmXEBBcsfNrJankX73F0xZTHHYSczrg4OCJl6UFsRjn347e5SgV9Rth9iI6yOoS2Y556vD09BWVDUc_fjKCDFkPUML9EaqAqpObo7wJDFAdMaUx9f4rYi8vl3bap6Ix64xm8oG5eL_imbb38fY9jeBeUR_WDQ_iGeUhchC5fzwargIFz3xa8rTvyj9Ke8Z3v2fJx-dnUqfeno_2g45fVDsHDudNmbhRtKaX8NgtE-8_FhnHgy0ZwS5x5Z20-WSAu7xz2U-yv8WP382ehJzIWDv-Fv4vt5eNadlDvJBc66Osv0YHwqcTfvU9iBYoBaXGMwj7x862yx0V2z73t1x0LlKKjnrMnv4Zkh9WepdZVQeV7LvzSPkmceHeoHVxzWBGWRrArlZqqz_hbAXfkP3-BxLlAU5fK0IlBUfwqFAc2K_s2cGeaR9qQrOFS4vJDGoJLevLNh4incM2

Decoded

F.eks. ved bruk av JWT.IO

image-20240119-060000.png

 

image-20240119-060101.png