...
DPoP (Demonstrating Proof-of-Possesion at the Application Layer) er en utvidelse til OAuth 2.0, en av protokollene som HelseID bygger på. Denne utvidelsen gjør det mulig å validere hvor et Access-token kommer fra, noe som begrenser muligheten for tokentyveri. Formålet med dette dokumentet er å gi API-eiere et grunnlag for å vurdere bruk av DPoP i sine tjenester.
Bakgrunn
Sikring av ressurser (som for eksempel et API) med bruk av OAuth 2.0 har tradisjonelt vært gjort med bruk av såkalte Bearer-tokens. Et Bearer-token er et token som enhver som har tilgang til det kan bruke. Spesifikt vil anvendelsen av et Bearer-token ikke kreve at den som bruker tokenet legitimerer bruken ved et kryptografisk bevis.
...