dPOP-støtte

[joergenb]

Overordnet beskrivelse

dPOP er ein mekanisme for å redusere risiko for misbruk dersom access token kjem på avvege, sokalla "replay attacks".

dPOP-token er kryptografisk bunde til nøkkelmateriale hjå den legitime klienten, og ved API-bruk må klient lage ein signatur som beviser for APIet at den som forsøker å bruke tokenet har kontroll på nøkkelmateriale, mao: er det same aktøren som fekk tokenet utlevert.

Forventet resultat

Bruk av dPOP vil gje sikrare APIer. Alle vil ha nytte av å ta det i bruk, men det er særskild viktig for APIer som utleverer særskilde personopplysningar. Innan nokre domener er det påkrevd å bruke dPOP, som til dømes finans (FAPI2).

dPOP vil også gje kundar som lagar public klienter som SPAer eller mobilapplikasjonar betre beskyttelse mot at nokon andre kan framstå som deira app.

Hvordan skal det fungere?

dPOP vil først verte innført som ein valfri mekanisme. Det betyr at det er opp til APIet som krev dPOP å forkaste token utan dPOP

Seinare vil me innføre parameteret [dpop_bound_access_tokens](https://datatracker.ietf.org/doc/html/rfc9449#name-client-registration-metadat)
i sjølvbetjening som gjer at ID-porten vil avvise token-førespurnader utan dPOP-proof.

Gjennomføring

No response