在SMART(FHIR)应用程序中:应用程序可以验证EHR吗?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在SMART(FHIR)应用程序中:应用程序可以验证EHR吗?相关的知识,希望对你有一定的参考价值。

我很清楚使用SMART应用程序的EHR如何验证来自SMART应用程序的请求是否合法地来自真正的SMART应用程序。但是,我没有看到SMART应用程序如何知道来自EHR的请求是合法请求。 SMART应用程序是否有标准方式可以验证来自EHR的传入请求实际上是来自SMART应用程序已注册的EHR的请求?换句话说,是否有一种方法可以构建到SMART规范中,从而允许SMART应用程序限制使用经过身份验证的注册EHR? OAUTH2协议中是否有一个步骤可以确保这一点?

我在这里查看SMART授权指南:http://docs.smarthealthit.org/authorization/

和Cerner教程/演示:http://engineering.cerner.com/smart-on-fhir-tutorial/

答案

我们在这里谈论的是“EHR Launch”流程,其中一个应用程序已由EHR发布。这个lauch包括一个iss参数,表示(假设!)启动发射的EHR,以及一个不透明的launch参数。

此时,应用无法验证请求,但它可以:

  1. 检查以确保iss值与它知道的EHR的发行者匹配(并且它具有client_id
  2. 继续通过重定向到EHR进行发布。如果启动有效,则启动ID有效。另一方面,如果EHR无法识别启动ID或未将其与当前应用程序的client_id关联,则启动失败。

这是一种验证EHR身份的功能方法:有效地,应用程序使用启动协议询问EHR此启动是否有效。

(如果您认为此协议留下了重要的功能或安全漏洞,请在chat.fhir.org上提出一点!)

以上是关于在SMART(FHIR)应用程序中:应用程序可以验证EHR吗?的主要内容,如果未能解决你的问题,请参考以下文章

fhir 排序和搜索参数

Dart/Flutter 中用于 FHIR 资源的 Json oneOf

在 Go 中编译 google-fhir 原型文件时出错

具有多种数据类型的 FHIR 数据元素

_include 在 hapi fhir 中

Fhir - 数据输入操作员/审计