...
Flyten gir ingen mekanisme for å sikre konfidensialiteten til request- parametrene i kallet. Selv om TLS brukes for å sikre autorisasjons-endepunktet, vil informasjonen gå gjennom nettleseren, og query-strengen kan lekkes, blant annet til i logger.
Flyten (uten bruk av Request Object) gir ingen beskyttelse for kryptografisk integritet og autentisitet for innholdet. En angriper kan for eksemel eksempel kunne endre scopes eller endre informasjon om organisasjonsnummer. HelseID har tiltak for denne typen angrep, men det gir økt robusthet å hindre muligheten for at de kan nyttiggjøres av en angriper.
Med alt innholdet i request-URL-en, kan den bli svært stor, slik at et GET-verb ikke kan brukes. Da må nettleseren bruke POST-verbet, og det gjør utviklingen av koden til kallet tungvindt.
...