JWT 授权的要求

OIDC 要求

要访问支持 OIDC HealthImaging 的数据存储上的 DICOMweb 资源，客户端应用程序必须获得 OpenID Connect/2.0 OAuth 身份提供商 (IdP) 的授权，并在每个请求的授权标头中出示 OAuth 2.0 持有者令牌（JWT）。 HealthImaging 使用您在数据存储上配置的集成路径之一验证令牌，然后通过假设映射到调用方的 IAM 角色来授权请求。

注意

OIDC 增加了但并未取代 sigV4。你可以继续使用 Sigv4，保持不变。OIDC 仅适用于。 DICOMweb APIs

在数据存储上配置令牌验证

创建（或更新）数据存储时选择一个验证路径：

客户托管的 Lambda 授权机构 (JWT)

• 提供 LambdaAuthorizerArn。 HealthImaging 使用传入的令牌调用您的 Lambda；您的函数对其进行验证并返回所需的索赔以及要代入的 IAM 角色 ARN。

• Lambda 必须在 1 秒钟内返回。

• 在函数中添加基于资源的策略，允许由 HealthImaging （服务主体 medical-imaging）调用。 region.amazonaws.com），并可选择限制对您的数据存储库 ARN 的调用。

• 在现有数据存储上启用 Lambda 授权者需要提出 AWS Support 案例。

请求格式 (HTTP)

在授权标题中发送访问令牌：

获取操作示例-获取 DICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

必填的 JWT 索赔

要使 DICOMweb 请求成功，有效载 token/authorization 荷必须包含以下声明：

• exp— 到期。当前时间必须在此值之前。

• iat-发布于。必须早于当前时间（UTC），且不得早于当前时间（UTC）前 12 小时（令牌的最大生命周期）