此外，在以前的版本中，您可以定义您的 FHIR 服务器接受通过 OAuth 2.0 发送的请求（例如，用于 FHIR 客户端上的 SMART），但在前不久发布的 v2024.3 中，有一项新功能可以更轻松地实现这一点，即OAuth FHIR 客户端快速启动（OAuth FHIR Client QuickStart）。

什么是 JWT？

JWT （JSON Web Token，JSON 网络令牌）是一种开放标准（RFC 7519），它提供了一种轻量级、紧凑、自足的方法，用于在双方之间安全地传输信息。它常用于网络应用程序中的身份验证、授权和信息交换。

JWT 通常由三部分组成：

1.JOSE（JSON Object Signing and Encryption，JSON 对象签名和加密）标头
2.有效载荷
3.签名

这些部分以 Base64Url 格式编码，并用点（.）分隔。

JWT 的结构

标题

{ "alg": "HS256", "typ": "JWT"}

有效载荷

{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}

签名：
签名用于验证 JWT 的发件人是否为其本人，并确保信息未被篡改。

创建签名

1. base64 编码报头和有效载荷。
2.使用秘钥（对于对称算法，如 HMAC）或私钥（对于非对称算法，如 RSA）应用签名算法（如 HMAC SHA256 或 RSA）。
3.对结果进行 Base64Url 编码，以获得签名。

JWT 样本。查看JWT 内容

在过去的几个月里，我一直在从事 SMART on FHIR EHR Launch 的工作，使用 CSIRO 的两个开源应用程序：SMART-EHR-Launcher 和 SMART 表单应用程序来测试 IRIS for Health 的功能。这段旅程非常有趣，我非常感谢能有机会参与这项任务并探索 IRIS for Health 的更多潜力。

在 HL7 AU FHIR Connectathon 上成功演示了多个外部 SMART 应用程序的无缝启动后，我很高兴能与社区分享我的心得。我希望我的见解能帮助其他人更快地开始类似的项目。

这项任务涉及使用 SMART-EHR-Launcher 作为 EHR 来启动 SMART 表单应用程序。同时，IRIS for Health 被用作 EHR 的 FHIR 资源库，其 OAuth2 服务器被用作授权服务器。

在进入激动人心的时刻之前，让我们先仔细了解一下 SMART on FHIR 和 SMART on FHIR EHR 启动仪式。让我们问问我们的好朋友 ChatGPT 和 豆包。

什么是 SMART on FHIR?

SMART on FHIR 是一种用于开发医疗保健应用程序的平台，旨在实现医疗保健系统之间的互操作性、安全性和可扩展性。以下是其详细介绍：

• 含义：SMART 代表可替代医疗应用程序和可重用技术（Substitutable

第十三章 I 开头的术语

安装目录 (install-dir)

系统

在通用引用 IRIS 安装目录时，文档使用术语 install-dir。在示例中，文档使用 C:\MyIRIS\。章节“默认安装目录”描述了 IRIS 在所有受支持操作系统上的安装位置。

实例 (instance)

对象（Objects）

表示特定实体的类的实现。术语“实例”和“对象”可以互换使用。

实例认证 (Instance Authentication)

系统

本地认证系统：用户会被提示输入密码，输入的密码的哈希值会传递到 IRIS 服务器，并与服务器中存储的现有密码的哈希值进行比较。如果两个值相同，IRIS 将授予用户对其有权限的资源的访问权限。

此机制在管理门户中列为“密码认证”。

实例方法 (instance method)

对象（Objects）

从类的特定实例调用的方法，并执行与该实例相关的某些操作。

实例化 (instantiate)

对象（Objects）

将对象实例放入内存中，以便程序可以对其进行操作。

中间源代码 (intermediate source code)

ObjectScript

IRIS 中可用的标准三代语言（3GL）ObjectScript 源代码。中间代码由 IRIS 编译器从宏源生成。在这个阶段，所有预处理器语法（包括嵌入式 SQL）都已解析，例程仅包含纯源代码。可以在这个级别编写 ObjectScript

昨天，我在一个客户网站提供从 Studio 迁移到 VS Code 的定制咨询时，就遇到了这种情况。

该站点的服务器已配置为使用delegated authentication，但尚未针对 /api/atelier Web 应用程序设置“delegated”复选框，而 InterSystems ObjectScript 扩展包的成员正是使用该复选框进行连接的。

一旦我们的应用程序设置了其复选框并单击了服务器管理器刷新按钮，就可以在服务器上枚举命名空间。

在这篇文章中，我将解释如何通过使用CSP Web应用程序以及启用/禁用和认证/取消认证任何Web应用程序的代码来进行认证、授权和审计。

• 在线 Demo -- https://dappsecurity.demo.community.intersystems.com/csp/user/index.csp (SuperUser | SYS)
• 推荐大家看下这个视频： https://www.youtube.com/watch?v=qFRa3njqDcA

应用层
 

大家好，

我正在创建WS做服务器用，但是当我要求WSDL时，提示错误因为找不到类。
我添加了以下说明：

set ^SYS("Security","CSP","AllowClass","MiProyecto.MiClaseWS","%SOAP.WebServiceInfo")=1 
set ^SYS("Security","CSP","AllowClass","MiProyecto.MiClaseWS","%SOAP.WebServiceInvoke")=1

我已经在WS安全配置中创建了一个入口

在“应用程序角色”选项卡中，我配置了％All权限

（图像中的命名空间“Samples”是出于安全原因）

如果我以以下方式调用服务，则http：// localhost：57772 / myproject / ws / MyProject.MiClassWS.cls？ WSDL提示以下错误：

Not Found
The requested URL /miproyecto/ws/MiProyecto.MiClaseWS.cls was not found on this server.

但是，另一方面，如果我执行以下命令，它可以正常工作： https：// localhost：57772 / csp / sample / MiProyecto.MiClaseWS.cls？wsdl 。

csp /

上一篇： IRIS中的权限管理

在上一篇文章中，我们介绍了IRIS中的权限控制体系。在本文中我们将以一个常见的实施需求为例介绍如何使用IRIS的权限配置出一个只能使用SQL的用户。

需求的分解

和所有用户需求一样，当用户提出一个需求时，除其语义显式的含义之外，还需分析其是否具有没有明确说明的含义。 对于一个只能使用SQL的用户这样一个需求，即应当结合平台的特征分解成为功能需求： 具有一个合法，可通过用户名和密码使用IRIS的用户 该用户的数据库权限

• 确认项：可以使用SQL访问所有数据库还是某几个特定的数据库？ 该用户的SQL权限
• 确认项：对于特定的数据库，是否可以执行所有的DDL？
• 确认项：对于特定的数据库，是否对每一张表都可以执行Select、Update等所有的DML 该用户的程序权限
• 确认项：用户是否可以通过Portal登录并管理IRIS？

如上所示，一个只能使用SQL的用户，这样一个看似简单的需求，如果需要与用户获得一致的理解并付诸实施，则需要将其分解，对于没有在用户需求中明确约定的部分，应作为待确认项与用户确认。另外，需要注意的是，IRIS作为一个数据平台，除了提供底层的数据库之外，也提供了Portal等Web应用程序便于使用Sharding、HA、Interoperability等平台功能，通过平台对外提供的Webservice、REST等web接口也受Web应用程序控制。

下一篇： 案例: 建立只能使用SQL的用户

IRIS通过认证（Authentication）与授权（Authorization）两项机制控制外部用户对系统及应用、数据资源的可访问性。因此。如需要进行权限控制，则需要通过配置认证和授权进行。

IRIS中的认证 {#2}

认证可以验证任何试图连接到InterSystems IRIS®的用户的身份。一旦通过认证，用户就与IRIS建立了通信，从而可以使用其数据和工具。有许多不同的方法可以验证用户的身份；每种方法都称为验证机制。IRIS 通常被配置为只使用其中一种方式。 支持的认证方式

• 实例认证：通过用户名/密码对登录平台，即密码认证
• LDAP：通过第三方LDAP服务器（如Windows Active Directory ）完成认证
• 操作系统认证：建立操作系统用户-平台用户映射，使用操作系统用户登录平台
• Kerberos：使用Kerberos协议进行认证
• 代理认证：使用自定义的代码实现认证过程

系统服务与认证 {#2.1}

在安装时，IRIS会启动一系列系统级的服务用与控制与外部用户或系统的交互，这些服务都绑定了默认的认证机制 图中红框标出的即为系统安装后会自动启用并需经认证才可使用的系统服务，认证手段可配置。例如，如果变更%Service_Console的身份验证方法，取消密码方法，用户就不能通过输入用户名密码登入Terminal。

本文以及后面两篇该系列文章，是为需要在其基于 InterSystems 产品的应用程序中使用 OAuth 2.0 框架（下文简称为 OAUTH）的开发人员或系统管理员提供的指南。