truevault - 移动应用程序可以使用 TrueVault 在没有 "middleman"服务器的情况下存储 JSON 数据吗？

Question

我一直在阅读文档 https://docs.truevault.com/但我有点困惑。我在真正的金库网站上读到这个:

If you plan on using any of the server-side libraries, please ensure any hosting environment you use is HIPAA compliant.

我认为这意味着 TrueValut 可以支持独立的(仅限客户端)移动应用程序架构。 TrueVault API 是唯一的服务器端交互。

但是我对文档的理解是:

1. 需要 API_KEY 才能注册新用户。
2. 任何 API_KEY 都提供对存储在 TrueVault 中的所有数据保险库和 JSON 文档的完全访问权限。

如果这两个假设都是正确的，那就意味着不可能直接从客户端应用程序注册新用户，迫使我使用昂贵且资源密集型的 HIPPA 赞美网络服务器。解决此问题的唯一方法是将 API_KEY 硬编码到应用程序中，如果 API_KEY 可以访问我的所有 TrueVault 数据，显然不行。

对于我的用例，我对 TrueVault 有以下要求，以便我能够考虑使用它(我想这些要求对于任何希望开发仅客户端医疗保健应用程序的人来说都是相同的):

1. 用户可以直接从我的客户端应用通过 API 注册，不需要任何敏感 key 或根身份验证数据。
2. 用户可以仅使用他们提供的注册数据(用户名/电子邮件/密码)进行身份验证。我的应用程序是多平台的，我不能要求他们记住用于登录的 API key 。
3. 用户可以读取/写入/更新/删除与其个人资料相关联的数据。他们无法使用其凭据访问其他用户的任何数据。

TrueVault 是否能够满足这三个基本要求？

如果对此的回答是“否”，我会建议您在您的网站上更新此文本，因为在没有独立服务器端界面的情况下，TrueVault 无法支持任何可行的 HIPPA 赞美应用程序。

Answer 1

我目前使用 AWS Lambda 作为解决方案。 Lambda 符合 HIPPA 标准，更多信息 here . Lambda也是一种低成本的解决方案。

这是我使用 Node.js 在 Lambda 上运行的代码示例。

var request = require('request-promise');
var _ = require('lodash');

function encodeBase64(str) {
  return (new Buffer(str)).toString('base64');
}

var baseUrl = 'https://api.truevault.com/v1/';
var headers = {
  'Content-Type': 'application/x-www-form-urlencoded;charset=utf-8'
};
var req = request.defaults({
  baseUrl: baseUrl,
  headers: _.extend({
    Authorization: 'Basic  ' + encodeBase64('your api key:')
  }, headers),
  transform: function(body) {
    return JSON.parse(body);
  }
});

exports.handler = function(event, context) {
  req.post('users', {
    form: {
      username: event.email,
      password: event.password,
      attributes: encodeBase64(JSON.stringify({
        name: event.name
      }))
    }
  }).then(function() {
    context.succeed({user: user});
  }).catch(context.fail);
}