...
Subject client forespør autentisering av bruker og ber om tilgang til API A.
HelseID utsteder Access Token (AT#1) med tilgang til API A.
Subject client gjør et kall til API A, med AT#1 i Authorization header.
API A trenger data fra API B og trenger dermed et Access Token for dette.
API A gjør en Token Exchange-forespørsel mot HelseID og ber om tilgang til API B.
AT#1 er subject_token i denne forespørselen.
API A er actor client i denne forespørselen.
HelseId utsteder et nytt Access Token (AT#2) og returnerer det til API A.
API A gjør et kall til API B med AT#2 i Authorization header.
...
Token Exchange forespørsel
...