在SMART (FHIR)应用程序中:应用程序能够验证EHR吗？

Question

我非常清楚，使用智能应用程序的EHR如何能够验证来自智能应用程序的请求是否来自真正的智能应用程序。但是，我不知道智能应用程序如何知道来自EHR的请求是合法的请求。是否有标准的方法可以验证来自EHR的传入请求实际上是来自智能应用程序注册的EHR的请求？换句话说，是否有一种方法可以内置到智能规范中，允许智能应用程序将使用限制在经过验证的注册EHR上？OAUTH2协议中是否有确保这一点的步骤？

我在这里查看智能授权指南：http://docs.smarthealthit.org/authorization/

这里还有Cerner教程/演示：http://engineering.cerner.com/smart-on-fhir-tutorial/

Answer 1

我们在这里讨论的是"EHR启动“流程，其中一个应用程序是由EHR启动的。这个lauch包含一个iss参数，它指示EHR (应该是！)启动启动和一个不透明的launch参数。

此时，应用程序无法对请求进行身份验证，但它可以：

1. 检查以确保iss值与它知道的EHR的发行者匹配(并且它有一个client_id)。
2. 继续发射，重定向到EHR。如果启动正常，则启动ID是有效的。另一方面，如果EHR没有识别启动ID，或者没有将其与当前应用的client_id关联，那么启动就失败了。

这是一种验证EHR身份的功能方法:实际上，应用程序使用启动协议询问EHR是否有效。

(如果您认为该协议留下了重要的功能或安全漏洞，请在chat.fhir.org上提出问题！)