docs: legg til README for sikkerhet-modulene

Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>

Author: MagnusTonnessen

http-client/README.md

@@ -0,0 +1,107 @@
+# http-client
+
+HTTP-klientbibliotek basert på Spring `RestTemplate`. Tilbyr abstrakte baseklasser for REST- og SOAP-klienter, samt interceptorer for Bearer-token-autentisering mot interne Nav-tjenester.
+
+## Innhold
+
+| Klasse | Beskrivelse |
+|--------|-------------|
+| `AbstractRestClient` | Baseklasse for typede REST-klienter med feilhåndtering og logging |
+| `AbstractPingableRestClient` | Utvider `AbstractRestClient` med helsesjekk (`/ping`) |
+| `BearerTokenClientInterceptor` | Henter access token automatisk og setter `Authorization: Bearer`-header |
+| `BearerTokenClientCredentialsClientInterceptor` | Som over, men tvinger client credentials grant |
+| `BearerTokenOnBehalfOfClientInterceptor` | Som over, men tvinger on-behalf-of (JWT bearer) grant |
+| `BearerTokenExchangeClientInterceptor` | Som over, men tvinger token exchange grant |
+| `ConsumerIdClientInterceptor` | Setter `Nav-Consumer-Id`-header |
+| `MdcValuesPropagatingClientInterceptor` | Propagerer MDC-verdier (correlation ID o.l.) til utgående kall |
+
+## Kom i gang
+
+Legg til avhengigheten i `pom.xml`:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>http-client</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+## Krav: TokenContext-implementasjon
+
+`BearerTokenClientInterceptor` bruker `TokenContextHolder` for å avgjøre om en forespørsel kommer fra et system (ingen innlogget bruker) eller en bruker (on-behalf-of). Uten en konfigurert `TokenContext`-implementasjon kaster interceptoren en `TokenContextNotConfiguredException` ved oppstart.
+
+Legg til én av følgende avhengigheter og importer tilhørende konfigurasjonsklasse:
+
+**Spring Security OAuth2 Resource Server**:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-spring-security</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+```kotlin
+@Import(FamilieFellesSpringSecurityKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+**Nav token-support**:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-token-support</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+```kotlin
+@Import(FamilieFellesNavTokenSupportKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+> Importer kun én av disse. Spring kaster feil ved oppstart dersom begge importeres samtidig.
+
+## Bruk
+
+### Implementere en REST-klient
+
+```kotlin
+@Service
+class MinTjenesteKlient(
+    restTemplate: RestTemplate,
+    @Value("\${min-tjeneste.url}") baseUrl: String,
+) : AbstractPingableRestClient(restTemplate, "min-tjeneste") {
+
+    private val uri = URI.create(baseUrl)
+
+    fun hentData(id: String): MinData =
+        getForEntity(uri.resolve("/api/data/$id"), MinData::class.java)
+}
+```
+
+### Sette opp RestTemplate med interceptorer
+
+```kotlin
+@Import(
+    BearerTokenClientInterceptor::class,
+    ConsumerIdClientInterceptor::class
+)
+class RestTemplateConfig {
+    @Bean
+    fun restTemplate(
+        bearerTokenClientInterceptor: BearerTokenClientInterceptor,
+        consumerIdClientInterceptor: ConsumerIdClientInterceptor,
+    ): RestTemplate =
+        RestTemplateBuilder()
+            .interceptors(
+                bearerTokenClientInterceptor,
+                consumerIdClientInterceptor,
+            ).build()
+}
+```

rest-klient/README.md

@@ -0,0 +1,107 @@
+# rest-klient
+
+HTTP-klientbibliotek basert på Spring `RestTemplate`. Tilbyr abstrakte baseklasser for REST- og SOAP-klienter, samt interceptorer for Bearer-token-autentisering mot interne Nav-tjenester.
+
+## Innhold
+
+| Klasse | Beskrivelse |
+|--------|-------------|
+| `AbstractRestClient` | Baseklasse for typede REST-klienter med feilhåndtering og logging |
+| `AbstractPingableRestClient` | Utvider `AbstractRestClient` med helsesjekk (`/ping`) |
+| `BearerTokenClientInterceptor` | Henter access token automatisk og setter `Authorization: Bearer`-header |
+| `BearerTokenClientCredentialsClientInterceptor` | Som over, men tvinger client credentials grant |
+| `BearerTokenOnBehalfOfClientInterceptor` | Som over, men tvinger on-behalf-of (JWT bearer) grant |
+| `BearerTokenExchangeClientInterceptor` | Som over, men tvinger token exchange grant |
+| `ConsumerIdClientInterceptor` | Setter `Nav-Consumer-Id`-header |
+| `MdcValuesPropagatingClientInterceptor` | Propagerer MDC-verdier (correlation ID o.l.) til utgående kall |
+
+## Kom i gang
+
+Legg til avhengigheten i `pom.xml`:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>rest-klient</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+## Krav: TokenContext-implementasjon
+
+`BearerTokenClientInterceptor` bruker `TokenContextHolder` for å avgjøre om en forespørsel kommer fra et system (ingen innlogget bruker) eller en bruker (on-behalf-of). Uten en konfigurert `TokenContext`-implementasjon kaster interceptoren en `TokenContextNotConfiguredException` ved oppstart.
+
+Legg til én av følgende avhengigheter og importer tilhørende konfigurasjonsklasse:
+
+**Spring Security OAuth2 Resource Server**:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-spring-security</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+```kotlin
+@Import(FamilieFellesSpringSecurityKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+**Nav token-support**:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-token-support</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+```kotlin
+@Import(FamilieFellesNavTokenSupportKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+> Importer kun én av disse. Spring kaster feil ved oppstart dersom begge importeres samtidig.
+
+## Bruk
+
+### Implementere en REST-klient
+
+```kotlin
+@Service
+class MinTjenesteKlient(
+    restTemplate: RestTemplate,
+    @Value("\${min-tjeneste.url}") baseUrl: String,
+) : AbstractPingableRestClient(restTemplate, "min-tjeneste") {
+
+    private val uri = URI.create(baseUrl)
+
+    fun hentData(id: String): MinData =
+        getForEntity(uri.resolve("/api/data/$id"), MinData::class.java)
+}
+```
+
+### Sette opp RestTemplate med interceptorer
+
+```kotlin
+@Import(
+    BearerTokenClientInterceptor::class,
+    ConsumerIdClientInterceptor::class
+)
+class RestTemplateConfig {
+    @Bean
+    fun restTemplate(
+        bearerTokenClientInterceptor: BearerTokenClientInterceptor,
+        consumerIdClientInterceptor: ConsumerIdClientInterceptor,
+    ): RestTemplate =
+        RestTemplateBuilder()
+            .interceptors(
+                bearerTokenClientInterceptor,
+                consumerIdClientInterceptor,
+            ).build()
+}
+```

sikkerhet-spring-security/README.md

@@ -0,0 +1,53 @@
+# sikkerhet-spring-security
+
+`TokenContext`-implementasjon basert på **Spring Security OAuth2 Resource Server**.
+
+## Kom i gang
+
+Legg til avhengigheten i `pom.xml`:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-spring-security</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+Importer konfigurasjonsklassen i applikasjonens hovedklasse eller en `@Configuration`-klasse:
+
+```kotlin
+@Import(FamilieFellesSpringSecurityKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+Dette registrerer `SpringSecurityTokenContext` som aktiv `TokenContext`-implementasjon.
+
+## Issuermapping
+
+`SpringSecurityTokenContext` identifiserer issueren via `iss`-claimet i JWT-en. Resten av biblioteket bruker kortnavn som `"azuread"` og `"tokenx"`, ikke fulle issuer-URLer.
+
+På NAIS bygges mappingen automatisk fra miljøvariablene som NAIS alltid injiserer:
+
+| Miljøvariabel | Kortnavn |
+|---|---|
+| `AZURE_OPENID_CONFIG_ISSUER` | `"azuread"` |
+| `TOKEN_X_ISSUER` | `"tokenx"` |
+
+Du trenger ikke konfigurere noe ekstra. I ikke-NAIS-miljøer (f.eks. lokalt uten disse variablene) brukes full issuer-URL i kall til `TokenContextHolder`.
+
+## Bruk
+
+```kotlin
+val saksbehandler = TokenContextHolder.getClaimAsString("NAVident")
+val harAzureToken = TokenContextHolder.hasTokenFor("azuread")
+val bearerToken = TokenContextHolder.getBearerToken("azuread")
+```
+
+## Relaterte moduler
+
+| Modul | Beskrivelse |
+|-------|-------------|
+| `sikkerhet` | Felles API – `TokenContext`-grensesnitt og `TokenContextHolder` |
+| `sikkerhet-token-support` | Alternativ implementasjon basert på Nav token-support |

sikkerhet-token-support/README.md

@@ -0,0 +1,48 @@
+# sikkerhet-token-support
+
+`TokenContext`-implementasjon basert på **Nav token-support** (`token-validation-spring`).
+
+## Kom i gang
+
+Legg til avhengigheten i `pom.xml`:
+
+```xml
+<dependency>
+    <groupId>no.nav.familie.felles</groupId>
+    <artifactId>sikkerhet-token-support</artifactId>
+    <version>${familie-felles.version}</version>
+</dependency>
+```
+
+Importer deretter konfigurasjonsklassen i applikasjonens hovedklasse eller en `@Configuration`-klasse:
+
+```kotlin
+@Import(FamilieFellesNavTokenSupportKonfigurasjon::class)
+@SpringBootApplication
+class MinApp
+```
+
+Dette registrerer `NavTokenSupportTokenContext` som aktiv `TokenContext`-implementasjon og gjør `TokenContextHolder` tilgjengelig i hele applikasjonen.
+
+## Forutsetninger
+
+Nav token-support må være konfigurert i `application.properties` / `application.yaml` med de issuerne applikasjonen skal validere tokens for. Se [nais/token-support](https://github.com/navikt/token-support#required-properties-yaml-or-properties) for detaljer.
+
+Kortnavnene du oppgir der (f.eks. `azuread`, `tokenx`) er de samme som brukes i metodekallene på `TokenContextHolder`.
+
+## Bruk
+
+Etter at konfigurasjonen er på plass brukes `TokenContextHolder` direkte:
+
+```kotlin
+val saksbehandler = TokenContextHolder.getClaimAsString("NAVident")
+val harAzureToken = TokenContextHolder.hasTokenFor("azuread")
+val bearerToken = TokenContextHolder.getBearerToken("azuread")
+```
+
+## Relaterte moduler
+
+| Modul | Beskrivelse |
+|-------|-------------|
+| `sikkerhet` | Felles API – `TokenContext`-grensesnitt og `TokenContextHolder` |
+| `sikkerhet-spring-security` | Alternativ implementasjon basert på Spring Security OAuth2 Resource Server |