...
Bruken av denne flyten er problematisk i kontekst av sikkerhet, personvern, og også med tanke på at informasjonsinnholdet kan være for stort for bruk av GET-verbet fra nettleseren mot autorisasjons-endepunktet:
Flyten gir ingen mekansisme mekanisme for å sikre konfidensialiteten til request-parametrene. Selv om TLS brukes for å sikre autorisasjons-endepunktet, vil informasjonen gå gjennom nettleseren, og query-strengen kan lekkes, blant annet til logger.
Flyten (uten bruk av Request Object) gir ingen beskyttelse for kryptografisk integritet og autentisitet for innholdet. En angriper kan for eksemel kunne endre scopes eller endre informasjon om organisasjonsnummer. HelseID har tiltak for denne typen angrep, men det gir økt robusthet å hindre muligheten for at de kan nyttiggjøres av en angriper.
Med alt innholdet i request-URL-en, kan den bli svært stor, slik at et GET-verb ikke kan brukes. Da må nettleseren bruke POST-verbet, og det gjør utviklingen av koden til kallet tungvindt.
...