在epic fhir的oauth2认证流程中,您的应用程序(客户端)需要与epic服务器进行安全通信。当您的应用程序生成并发送json web token (jwt) 进行认证时,它会使用自己的私钥对jwt进行签名。为了让epic服务器能够验证这个签名的真实性,它需要获取您的应用程序对应的公钥。
JWK URL(JSON Web Key Set URL)正是为此目的而生。它不是由Epic提供,而是您应用程序自行创建并托管的一个公开可访问的HTTP(S)端点。这个端点返回一个JSON Web Key Set (JWKS) 文档,其中包含您的应用程序用于签名JWT的公钥信息。当Epic服务器接收到您的签名JWT时,它会访问您在Epic应用注册时提供的JWK URL,获取相应的公钥,并使用该公钥来验证JWT的签名。这一机制确保了只有拥有对应私钥的合法应用程序才能通过认证。
对于Epic FHIR认证,您通常需要提供一个RSA类型的公钥。
在托管JWKS之前,您首先需要生成一对RSA密钥:一个私钥用于签名您的JWT,一个公钥用于构建JWKS并由Epic验证。
您可以使用OpenSSL命令行工具或Python的cryptography库来生成密钥对。
使用OpenSSL生成密钥对:
生成私钥 (PEM格式):
openssl genrsa -out private_key.pem 2048
这将生成一个2048位的RSA私钥。请务必妥善保管此文件,切勿泄露。
从私钥中提取公钥 (PEM格式):
openssl rsa -pubout -in private_key.pem -out public_key.pem
这个public_key.pem文件将用于构建JWKS。
JWKS文档是一个包含公钥信息的JSON对象。对于RSA公钥,它通常包含以下关键字段:
示例JWK结构:
{
"keys": [
{
"kty": "RSA",
"alg": "RS256",
"use": "sig",
"kid": "your-app-key-id-1",
"n": "base64url_encoded_modulus",
"e": "base64url_encoded_public_exponent"
}
]
}您需要在您的Django应用程序中创建一个API端点,当被访问时,它返回上述格式的JWKS JSON。
步骤1:安装必要的库
如果您尚未安装djangorestframework和cryptography:
pip install djangorestframework cryptography
步骤2:创建视图 (myapp/views.py)
from rest_framework.views import APIView
from rest_framework.response import Response
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.backends import default_backend
import base64
import json
import os
class JWKSView(APIView):
authentication_classes = [] # JWKS端点通常不需要认证
permission_classes = [] # JWKS端点通常不需要权限
def get(self, request):
# 实际应用中,公钥文件路径应通过配置管理
# 假设公钥文件存储在项目根目录下的 'keys' 文件夹中
# 确保路径正确且文件可读
public_key_path = os.path.join(os.path.dirname(os.path.dirname(__file__)), 'keys', 'public_key.pem')
try:
with open(public_key_path, "rb") as key_file:
public_key = serialization.load_pem_public_key(
key_file.read(),
backend=default_backend()
)
except FileNotFoundError:
return Response({"error": "Public key file not found."}, status=500)
except Exception as e:
return Response({"error": f"Error loading public key: {e}"}, status=500)
# 获取RSA公钥的参数
public_numbers = public_key.public_numbers()
# 将模数(n)和公钥指数(e)转换为字节并进行Base64url编码
# 注意:需要移除Base64编码可能添加的填充字符'='
n_bytes = public_numbers.n.to_bytes((public_numbers.n.bit_length() + 7) // 8, 'big')
e_bytes = public_numbers.e.to_bytes((public_numbers.e.bit_length() + 7) // 8, 'big')
n_b64url = base64.urlsafe_b64encode(n_bytes).rstrip(b'=').decode('utf-8')
e_b64url = base64.urlsafe_b64encode(e_bytes).rstrip(b'=').decode('utf-8')
# 构建JWK
jwk = {
"kty": "RSA",
"alg": "RS256", # 根据您的私钥签名JWT时使用的算法设置
"use": "sig", # 用于签名验证
"kid": "my-app-rsa-key-v1", # 您的密钥唯一ID,用于密钥轮换
"n": n_b64url,
"e": e_b64url
}
jwks = {"keys": [jwk]}
return Response(jwks)
步骤3:配置URL (myapp/urls.py 或项目 urls.py)
from django.urls import path
from .views import JWKSView
urlpatterns = [
# Epic通常期望JWK URL以.well-known/jwks.json或类似路径结尾
path('.well-known/jwks.json', JWKSView.as_view(), name='jwks_endpoint'),
# 或者您可以在应用注册时指定任何可访问的路径
# path('api/v1/jwks/', JWKSView.as_view(), name='jwks_endpoint'),
]步骤4:将公钥文件放置到指定位置
在您的Django项目根目录下创建一个keys文件夹,并将之前生成的public_key.pem文件放入其中。例如:
your_django_project/
├── your_django_project/
├── myapp/
│ ├── views.py
│ └── urls.py
└── keys/
└── public_key.pemJWK URL是Epic FHIR OAuth2认证流程中不可或缺的一部分,它使得Epic能够安全地验证您的应用程序签名的JWT。通过自行托管JWKS端点,您掌控了密钥管理的主动权。遵循本文提供的指南和最佳实践,包括正确的密钥生成、JWKS格式构建、Django REST Framework实现以及安全考量,将帮助您成功集成Epic FHIR认证,确保应用程序与Epic系统间的安全通信。
以上就是Epic FHIR应用OAuth2认证:JWK URL的理解与实现的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
459
收藏
