我一直在https://docs.truevault.com/阅读文档,但我有点困惑。我在真正的保险库网站上看到了这个:
如果您计划 使用任何服务器端库,请确保 您使用的任何托管环境都符合HIPAA标准。
我认为这意味着TrueValut可以支持独立(仅客户端)移动应用程序架构。 TrueVault API是唯一的服务器端交互。
但是我对文档的理解是:
API_KEY。API_KEY都可以完全访问存储在TrueVault中的所有数据保险库和JSON文档。如果这两个假设都是正确的,则意味着无法直接从客户端应用程序注册新用户,迫使我使用昂贵且资源密集的HIPPA赞美Web服务器。解决这个问题的唯一方法是将API_KEY放入应用程序中的顶级硬编码,如果API_KEY可以访问我的所有TrueVault数据,那么显然不行。
对于我的用例,我对TrueVault有以下要求,以便能够考虑使用它(我想这些要求对于那些希望开发仅客户端医疗应用程序的人来说是相同的):
TrueVault能够满足这三个基本要求吗?
如果答案是"否"我建议你在你的网站上更新这个文本,因为没有任何可行的HIPPA赞美应用程序,TrueVault可以支持,而没有独立的服务器端接口。
答案 0 :(得分:0)
我目前正在使用AWS Lambda作为解决方案。 Lambda符合HIPPA标准,更多信息here。 Lambda也是一种低成本解决方案。
以下是我使用Node.js在Lambda上运行的代码示例。
var request = require('request-promise');
var _ = require('lodash');
function encodeBase64(str) {
return (new Buffer(str)).toString('base64');
}
var baseUrl = 'https://api.truevault.com/v1/';
var headers = {
'Content-Type': 'application/x-www-form-urlencoded;charset=utf-8'
};
var req = request.defaults({
baseUrl: baseUrl,
headers: _.extend({
Authorization: 'Basic ' + encodeBase64('your api key:')
}, headers),
transform: function(body) {
return JSON.parse(body);
}
});
exports.handler = function(event, context) {
req.post('users', {
form: {
username: event.email,
password: event.password,
attributes: encodeBase64(JSON.stringify({
name: event.name
}))
}
}).then(function() {
context.succeed({user: user});
}).catch(context.fail);
}
答案 1 :(得分:0)
一般来说,您是对的 - 如果您在用户和 TrueVault 之间包含零服务器端处理,那么 API 密钥将是公开的。至少,我不知道有什么办法可以避免这种情况。
话虽如此,跳转到“任何 API_KEY 都提供对存储在 TrueVault 中的所有数据保险库和 JSON 文档的完全访问权限”是不正确的。 - 如果设置正确,情况并非如此。