Closed martsve closed 3 months ago
@yne-bv Jeg tenker vi kunne sett på denne oppgaven så vi får satt opp pakkene til å spille fint med hverandre. Om vi får ut en helseId-pakke som tillatter DPoP token får vi testet ClientCredentials pakken.
Se også #364
Per standarden er det ikke lov å akseptere både DPoP og Bearer.
Dette kan vi desverre ikke løse i HelseId.Api pakken. Vi må løse det med f.ex. retry logikk, som definert i https://datatracker.ietf.org/doc/html/rfc9449#section-7.2
eller ved at API'ene som tar i bruk dpop må lage egne dpop-endepunkter.
DPoP tokens er bakoverkompatible, men de har en ny type. I stede for "Bearer" har de type "DPoP".
Vi må legge til støtte i HelseId-pakken for å godta "DPoP" som type, selv om vi bruker gammel Bearer-validering.
Om vi ikke legger inn denne støtten vil vi få et problem der både Server og Klient må ta i bruk DPoP SAMTIDIG når det aktiveres. Det vil være vanskelig å kordinere. Vi må derfor la følgende kunne skje: