#OAuth2

此外，在以前的版本中，您可以定义您的 FHIR 服务器接受通过 OAuth 2.0 发送的请求（例如，用于 FHIR 客户端上的 SMART），但在前不久发布的 v2024.3 中，有一项新功能可以更轻松地实现这一点，即OAuth FHIR 客户端快速启动（OAuth FHIR Client QuickStart）。

InterSystems API 管理器（IAM）是 InterSystems IRIS 数据平台的核心组件，提供集中式 API 管理，重点强调安全性。IAM 简化了从创建到退出的整个 API 生命周期，并提供了一个开发人员门户，便于发现和集成 API。访问控制功能允许管理员定义精确的权限，IAM 与 IRIS 数据平台无缝集成，增强了数据管理和集成能力。

IAM 的功能包括

• API 网关：集中式 API 管理和安全中心。
• API 生命周期管理：从创建到退出的完整生命周期控制。
• 安全性：身份验证、授权和数据加密。
• 监控和分析：使用监控和模式分析工具。
• 开发人员门户网站：具有文档和测试功能的 API 发现门户。
• 访问控制：对 API 访问和操作进行细粒度控制。
• 与 InterSystems IRIS 集成：与 IRIS 数据平台无缝集成。

使用案例： 本报告中的用例是身份和访问管理。

符合 OAuth 2.0 标准的身份验证和授权，使用 IAM 确保 FHIR 服务器的安全。

在本文档中，您将了解如何使用 InterSystems API Manager 通过 OAuth 2.0 确保 FHIR 服务器的安全。OAuth 2.0 是一种广泛使用的授权标准，可使应用程序访问 FHIR 服务器上受保护的资源。InterSystems API 管理器是一种可简

大家好，现在我想继续我们之前讨论过的话题

使用 Postman 测试 InterSystems FHIR 存储库的 OAuth2.0 - 第一部分

问题1：我的client_id和client_secret是从哪里来的？

简短回答：身份验证服务器（Authentication Server）。

如果没有身份验证服务器，可按以下方法设置一个

提供主机名（主机必须支持 Https）、至少 1 种大类型（这里我们选择客户端凭证）和 SSL/TSL 配置

输入作用域（这里我们输入user/*.read和user/*.write，这是基于 FHIR 服务器（资源服务器）支持的作用域）。万一我们遗漏了某些作用域，请检查 "允许不支持的作用域（Allow unsupported scope）"。

JWT 设置选择 RS256（这只是一个示例，您可以选择适合您架构的设置）

将生成令牌类（Generate token class）更改为%OAuth2.Server.JWT。如果需要，还可以更新命名空间。

保存（Save）设置

问题 2：如何查看身份验证服务器的 client_id 和 client_secret？

简短回答： 设置 OAuth2.0 客户端（如果没有）并创建一个客户端

以下是设置 OAuth2.0 客户端的步骤。

点

如果要从 x509 证书/密钥生成JWT，对%SYS.X509Credentials的任何操作（包括读取）都需要 %Admin_Secure 资源上的 U。之所以需要 %Admin_Secure，是因为 %SYS.X509Credentials 是持久的，这样做是为了防止所有用户访问私钥。

如果 %Admin_Secure 资源在运行时不可用，可以使用以下变通方法。

在查看 JWT 生成代码时，我发现 JWT 代码仅利用 %SYS.X509Credentials 作为 PrivateKey、PrivateKeyPassword 和 Certificate 的运行时数据源。作为一种变通方法，您可以使用 X.509 接口的运行时非持久化实现，只公开这些属性。如果要使用互操作性，证书/PK 可以存储在凭证中，以便安全访问：

Class User.X509 Extends%RegisteredObject
{

Property PrivateKey As%VarString;Property PrivateKeyPassword As%String;Property Certificate As%VarString;Property HasPrivateKey As%Boolean [ InitialExpression = {$$$YES} ];C

大家好，又是我来分享我最近的学习心得了。

最近，我正在学习如何为 InterSystems FHIR 资源库设置 OAuth2 身份验证。我发现以下文章非常好，而且很容易理解。

使用 IRIS for Health 启动 FHIR EHR 的 SMART

在 IRIS for Health 上构建 FHIR 资源库 + OAuth2 授权服务器/资源服务器配置》第 2 部分

对我来说，作为一个对 OAuth2.0 没有太多了解的用户。我认为，在了解整个 OAuth2.0 环境之前，从纯粹的用户角度来看（它是什么、我需要哪些参数、预期输出是什么），理解如何设置整个 OAuth2.0 环境是相当困难的。在这里，我们使用 Postman 作为客户端。

如果你想有一个 OAuth 的测试环境，可以试试下面的 dockers

workshop-iris-oauth2 或本文中的 docker在 IRIS for Health 上构建 FHIR 资源库 + OAuth2 授权服务器/资源服务器配置 第 1 部分

在本文中，我在本地计算机上设置了一个支持 HTTPS 的 InterSystems FHIR 资源库 。(根据我的观察，要使 InterSystems OAuth 正常工作，资源服务器必须支持 HTTPS😑😐。）

因此，让我们从简单的开始。

案例 1：基本身

什么是 JWT？

JWT （JSON Web Token，JSON 网络令牌）是一种开放标准（RFC 7519），它提供了一种轻量级、紧凑、自足的方法，用于在双方之间安全地传输信息。它常用于网络应用程序中的身份验证、授权和信息交换。

JWT 通常由三部分组成：

1.JOSE（JSON Object Signing and Encryption，JSON 对象签名和加密）标头
2.有效载荷
3.签名

这些部分以 Base64Url 格式编码，并用点（.）分隔。

JWT 的结构

标题

{ "alg": "HS256", "typ": "JWT"}

有效载荷

{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}

签名：
签名用于验证 JWT 的发件人是否为其本人，并确保信息未被篡改。

创建签名

1. base64 编码报头和有效载荷。
2.使用秘钥（对于对称算法，如 HMAC）或私钥（对于非对称算法，如 RSA）应用签名算法（如 HMAC SHA256 或 RSA）。
3.对结果进行 Base64Url 编码，以获得签名。

JWT 样本。查看JWT 内容

在过去的几个月里，我一直在从事 SMART on FHIR EHR Launch 的工作，使用 CSIRO 的两个开源应用程序：SMART-EHR-Launcher 和 SMART 表单应用程序来测试 IRIS for Health 的功能。这段旅程非常有趣，我非常感谢能有机会参与这项任务并探索 IRIS for Health 的更多潜力。

在 HL7 AU FHIR Connectathon 上成功演示了多个外部 SMART 应用程序的无缝启动后，我很高兴能与社区分享我的心得。我希望我的见解能帮助其他人更快地开始类似的项目。

这项任务涉及使用 SMART-EHR-Launcher 作为 EHR 来启动 SMART 表单应用程序。同时，IRIS for Health 被用作 EHR 的 FHIR 资源库，其 OAuth2 服务器被用作授权服务器。

在进入激动人心的时刻之前，让我们先仔细了解一下 SMART on FHIR 和 SMART on FHIR EHR 启动仪式。让我们问问我们的好朋友 ChatGPT 和 豆包。

什么是 SMART on FHIR?

SMART on FHIR 是一种用于开发医疗保健应用程序的平台，旨在实现医疗保健系统之间的互操作性、安全性和可扩展性。以下是其详细介绍：

• 含义：SMART 代表可替代医疗应用程序和可重用技术（Subs

在这篇文章中，我将解释如何通过使用CSP Web应用程序以及启用/禁用和认证/取消认证任何Web应用程序的代码来进行认证、授权和审计。

• 在线 Demo -- https://dappsecurity.demo.community.intersystems.com/csp/user/index.csp (SuperUser | SYS)
• 推荐大家看下这个视频： https://www.youtube.com/watch?v=qFRa3njqDcA

应用层
 

在这个由三个部分组成的系列文章中，介绍了如何在OAuth 2.0标准下使用IAM简单地为IRIS中的未经验证的服务添加安全性。 

第一部分介绍了一些OAuth 2.0背景知识，以及IRIS和IAM的一些初始定义和配置，以帮助读者理解确保服务安全的整个过程。 

第二部分详细讨论和演示了配置IAM所需的步骤——验证传入请求中的访问令牌，并在验证成功时将请求转发到后端。 

本系列的最后一部分将讨论和演示IAM生成访问令牌（充当授权服务器）并对其进行验证时所需的配置，以及一些重要的最终考虑事项。 

如果您想试用IAM，请联系InterSystems销售代表。 

场景2：IAM作为授权服务器和访问令牌验证器  

与上个场景不同的是，该场景中将使用一个名为“OAuth 2.0 Authentication”的插件。 

如果要在资源所有者密码凭证流中将IAM作为授权服务器使用，客户端应用程序必须对用户名和密码进行身份验证。只有在身份验证成功时，才能发出获取IAM访问令牌的请求。 

首先，将其添加到“SampleIRISService”中。正如下面截屏所示，需要填充一些不同的字段来配置此插件。 

首先，将“SampleIRISService”的ID粘贴到“service_id”字段中，这样就可以在服务中启用该插件。 

在“config.auth_header_name”

在这个由三部分组成的系列文章中，我们将展示如何在OAuth 2.0标准下使用IAM简单地为IRIS中的未经验证的服务添加安全性。 

在第一部分中，我们介绍了一些OAuth 2.0背景知识，以及IRIS和IAM的初始定义和配置，以帮助读者理解确保服务安全的整个过程。 

现在，本文将详细讨论和演示配置IAM所需的步骤——验证传入请求中的访问令牌，并在验证成功时将请求转发到后端。 

本系列的最后一部分将讨论和演示IAM生成访问令牌（充当授权服务器）并对其进行验证时所需的配置，以及一些重要的最终考虑事项。 

如果您想试用IAM，请联系InterSystems销售代表。

场景1：IAM作为访问令牌验证器  

在该场景中，需要使用一个外部授权服务器生成JWT（JSON Web Token）格式的访问令牌。该JWT使用了RS256算法和私钥签名。为了验证JWT签名，另一方（本例中是IAM）需要拥有授权服务器提供的公钥。 

由外部授权服务器生成的JWT主体中还包括一个名为“exp”的声明（包含该令牌过期的时间戳），以及另一个名为“iss”的声明（包含授权服务器的地址）。 

因此，IAM需要先使用授权服务器的公钥和JWT内部“exp”声明中包含的过期时间戳对JWT签名进行验证，然后再将请求转发给IRIS。 

对IAM进行相应配置时，首先要向IAM中的“SampleIRISSer

介绍 

目前，诸多应用程序通过开放授权框架（OAuth）来安全、可靠、高效地访问各种服务中的资源。InterSystems IRIS目前已兼容OAuth 2.0框架。事实上社区有一篇关于OAuth 2.0和InterSystems IRIS的精彩文章，链接如下。 

然而，随着API管理工具的出现，一些组织开始将其用作单点身份验证，从而防止未经授权的请求到达下游服务，并将授权/身份验证复杂性从服务本身分离出来。 

您可能知道，InterSystems已经推出了自己的API管理工具，即InterSystems API Management （IAM），以IRIS Enterprise license（IRIS Community版本不含此功能）的形式提供。这里是社区另一篇介绍InterSystems AIM的精华帖。 

这是三篇系列文章中的第一篇，该系列文章将展示如何在OAuth 2.0标准下使用IAM简单地为IRIS中的未经验证的服务添加安全性。 

第一部分将介绍OAuth 2.0相关背景，以及IRIS和IAM的初始定义和配置，以帮助读者理解确保服务安全的整个过程。 

本系列文章的后续部分还将介绍两种使用IAM保护服务的可能的场景。在第一种场景中，IAM只验证传入请求中的访问令牌，如果验证成功，则将请求转发到后端。在第二种场景中，IAM将生成一个访问令牌（充当授权服务器）

假设您想编写一些真正的web应用程序，例如medium.com网站的简单克隆。这类应用程序可以在后端使用任何不同的语言编写，也可以使用前端的任何框架编写。编写这样一个应用程序有很多方法，你也可以看看这个项目。它为完全相同的应用程序提供了一堆前端和后端实现。您可以轻松组合它们，任何所选前端应该与任何后端搭配。

我来介绍一下这个使用后端InterSystems IRIS来实现后端的相同的应用程序。  

本文以及后面两篇该系列文章，是为需要在其基于 InterSystems 产品的应用程序中使用 OAuth 2.0 框架（下文简称为 OAUTH）的开发人员或系统管理员提供的指南。