parse-hipaa

![]([] ![build]([] ![build]([] ![release]([] ![release]([***]

!dashboard

运行您自己的符合HIPAA和GDPR标准的parse-server，支持PostgreSQL或MongoDB。parse-hipaa还包含parse-dashboard，用于在云端查看/修改数据。作为parse-server的衍生版本，parse-hipaa可用于iOS、Android、Flutter和基于Web的应用（JS、React Native等）。默认启用GraphQL和REST API，可直接测试或通过Parse Dashboard中的"API Console"测试。详情和示例请参见Parse SDK文档。parse-hipaa包含符合HIPAA合规所需的数据库审计和日志功能。

核心功能

parse-hipaa提供以下特性：

• 服务器管理级别（Parse）和数据库级别（Postgres或Mongo）的审计与日志记录
• User类（及ParseCareKit类，如使用）默认禁止未认证访问（标准parse-server默认允许未认证读取）
• 禁用客户端创建新Parse类和添加字段，需通过Parse Dashboard在服务器端操作（标准parse-server默认允许客户端创建类和字段）
• 支持传输加密 - parse-hipaa及其配套镜像可配置为运行在代理后端，并提供Nginx和LetsEncrypt的完整配置流程
• 仅允许认证用户上传文件（标准parse-server默认允许未认证上传）
• 文件上传默认使用AES-256-GCM加密（标准parse-server默认不加密文件）
• 文件上传可通过clamav扫描病毒和***软件后再保存（默认关闭）。配置示例见files.js，启用方法见main.js

合规说明

要实现完全HIPAA和GDPR合规，您还需自行配置以下内容：

• 传输加密 - 需完成配置流程
• 静态加密 - 将数据库挂载到加密存储驱动器（Linux和macOS提供相关API）并安全存放
• 确保满足HIPAA和GDPR的其他要求
• 若使用Heroku等远程服务，可能需要购买额外服务（如Shield Spaces）

CareKitSample-ParseCareKit项目使用parse-hipaa和ParseCareKit。

风险提示：使用本镜像需自行承担风险，不保证完全符合HIPAA合规，我们不对数据处理不当负责。

包含组件

Parse-HIPAA基于parse-server镜像构建，包含以下额外包：

• parse-hipaa-dashboard
• parse-server-carekit
• clamscan
• newrelic - Heroku部署自动配置，其他环境需额外配置
• parse-server-any-analytics-adapter - 需额外配置
• @analytics/google-analytics - 需额外配置
• @analytics/google-analytics-v3 - 需额外配置
• @parse/s3-files-adapter - 需额外配置
• parse-server-api-mail-adapter - 需额外配置
• mailgun.js - 需额外配置

镜像信息

parse-hipaa镜像自动构建，可通过以下位置获取：

• Docker - Docker Hub
• Singularity - GitHub Container Registry

镜像标签

生产环境

• latest - 指向最新发布版本，不含parse-hipaa-dashboard，镜像体积最小
• x.x.x - 指向特定发布版本，版本号与parse-server对应，不含dashboard，镜像体积最小
• x.x.x-dashboard - 指向特定发布版本，版本号与parse-server对应，包含parse-hipaa-dashboard，镜像体积较大

开发环境

• main - 包含最新代码，依赖最新parse-server版本，含dashboard，可能包含破坏性变更
• x.x.x-alpha/beta - 包含最新代码，依赖parse-server的alpha/beta版本，含dashboard，可能包含破坏性变更

使用建议

可组合使用多个标签镜像构建高可用(HA)应用，例如：1个Nginx反向代理/负载均衡器、1个x.x.x-dashboard parse-hipaa服务器、2个x.x.x parse-hipaa服务器、1个Percona Monitor and Management服务器。

• 标准版本（不含dashboard）：latest或x.x.x，适合构建HA集群或独立服务器，需单独部署dashboard。示例配置见docker-compose.yml
• 带dashboard版本：x.x.x-dashboard，适合单服务器部署，包含dashboard功能。示例配置见docker-compose-dashboard.yml
• 开发版本：main或x.x.x-alpha/beta，仅用于测试最新功能，不建议生产环境使用

部署方法

远程部署

Heroku

![Deploy]([***]

通过一键部署快速部署到Heroku。注意：Heroku免费服务不符合HIPAA合规，需参考Heroku合规认证并升级至Shield Spaces。详细步骤见文档。非ParseCareKit应用请使用snapcat分支的Heroku按钮。部署步骤：

1. 输入应用名称
2. 在Config vars部分配置环境变量：
   • NEW_RELIC_APP_NAME设为步骤1的应用名称
   • 添加PARSE_DASHBOARD_USER_ID用于登录Parse Dashboard
   • 添加PARSE_DASHBOARD_USER_PASSWORD（密码哈希可通过bcrypt-generator.com生成）
   • 其他变量可保持默认或按需修改
3. 若不使用ParseCareKit，设置PARSE_SERVER_USING_PARSECAREKIT=false
4. 点击Deploy app
5. 部署完成后，通过[***]（服务器）或[***]（dashboard）访问，路径由PARSE_SERVER_MOUNT_PATH和PARSE_DASHBOARD_MOUNT_PATH定义
6. 在Settings->Reveal Config Vars中获取PARSE_SERVER_APPLICATION_ID，客户端需配置applicationId（即该值）和serverURL（即[***]）

自定义Heroku部署

1. Fork parse-hipaa仓库
2. 编辑heroku.yml，将parse/Dockerfile.heroku改为parse/Dockerfile，使构建基于自定义代码
3. 修改parse/index.js和parse/cloud等文件
4. 参考Heroku文档进行部署和集成

本地部署

Docker部署（Postgres/Mongo）

默认docker-compose.yml使用hipaa-postgres，docker-compose.mongo.yml使用hipaa-mongo。

• Postgres（HIPAA合规版）：

  bash
  docker-compose up
  

• Mongo（HIPAA合规版）：

  bash
  docker-compose -f docker-compose.mongo.yml up
  

• Postgres（非合规版）：

  bash
  docker-compose -f docker-compose.no.hipaa.yml up
  

• Mongo（非合规版）：未提供，参考标准parse-server部署

环境变量配置

parse-hipaa由4个独立Docker镜像组成（同时使用3个），需正确配置环境变量。完整变量列表见app.json。

netreconlab/parse-hipaa

bash
PARSE_SERVER_APPLICATION_ID # 唯一字符串
PARSE_SERVER_PRIMARY_KEY # 唯一字符串
PARSE_SERVER_READ_ONLY_PRIMARY_KEY # 唯一字符串
PARSE_SERVER_ENCRYPTION_KEY # 文件加密密钥
PARSE_SERVER_OBJECT_ID_SIZE # ObjectId长度，默认10，建议***应用设为32
PARSE_SERVER_DATABASE_URI # 数据库连接URI，如postgres://${PG_PARSE_USER}:${PG_PARSE_PASSWORD}@db:5432/${PG_PARSE_DB}
PORT # 端口，默认1337
PARSE_SERVER_MOUNT_PATH # 挂载路径，默认/parse
PARSE_SERVER_URL # 服务器URL，默认[***]{PORT}/parse
PARSE_SERVER_PUBLIC_URL # 公开URL，默认http://localhost:${PORT}/parse
PARSE_SERVER_CLOUD # 云代码路径，默认/parse/cloud/main.js
PARSE_SERVER_MOUNT_GRAPHQL # 是否启用GraphQL，默认true
PARSE_SET_USER_CLP # 是否限制User类访问，默认1
PARSE_SERVER_ALLOW_CLIENT_CLASS_CREATION # 是否允许客户端创建类，默认false
PARSE_SERVER_ALLOW_CUSTOM_OBJECTID # ParseCareKit必需，默认true
PARSE_SERVER_ENABLE_SCHEMA_HOOKS # 跨实例同步 schema，默认true
PARSE_SERVER_DIRECT_ACCESS # 禁用直接访问，默认false
PARSE_SERVER_USING_PARSECAREKIT # 是否使用ParseCareKit，默认true
PARSE_VERBOSE # 是否启用详细日志，默认false
POSTGRES_PASSWORD # 需与hipaa-postgres的POSTGRES_PASSWORD一致

netreconlab/hipaa-postgres

bash
POSTGRES_PASSWORD # 数据库集群密码
PG_PARSE_USER # parse数据库用户名
PG_PARSE_PASSWORD # parse数据库密码
PG_PARSE_DB # parse数据库名称

netreconlab/hipaa-mongo

bash
# 需手动修改/scripts/mongo-init.js，环境变量不直接传递
MONGO_INITDB_ROOT_USERNAME # 管理员用户名
MONGO_INITDB_ROOT_PASSWORD # 管理员密码
MONGO_INITDB_DATABASE # parse数据库名称

parse-hipaa-dashboard/parse-dashboard

bash
PARSE_DASHBOARD_TRUST_PROXY # 代理后端时设置为1
PARSE_DASHBOARD_ALLOW_INSECURE_HTTP # 非代理环境设置为1（二选一）
PARSE_DASHBOARD_COOKIE_SESSION_SECRET # 会话密钥
PARSE_DASHBOARD_MOUNT_PATH # 挂载路径，默认/dashboard

首次启动说明

首次启动时，parse-server（控制台显示为parse_1）可能因Postgres初始化而多次连接失败，属正常现象。Postgres初始化完成后会显示：

bash
db_1         | PostgreSQL init process complete; ready for start up.

parse-server连接成功后显示：

bash
parse_1      | parse-server running on port 1337.
parse_1      | publicServerURL: http://localhost:1337/parse, serverURL: [***]
parse_1      | GraphQL API running on http://localhost:1337/parsegraphql
parse_1      | info: Parse LiveQuery Server starts running

控制台可能出现类似以下数据库错误日志，属正常现象（parse检查并配置数据库）：

bash
db_1         | 2020-03-18 21:59:21.550 UTC [105] ERROR:  duplicate key value violates unique constraint "pg_type_typname_nsp_index"
...

Singularity部署

提供Singularity镜像，托管于GitHub Container Registry，示例配置见singularity-compose.yml。

Parse Server配置

Parse Server默认绑定1337端口，访问地址http://localhost:1337/parse。可通过修改index.js配置推送通知、密码重置、适配器等。该文件为Express应用，参考示例。

生产环境配置（ParseCareKit）

生产环境需创建索引优化查询：

Postgres

1. 进入容器：docker exec -u postgres -ti parse-hipaa_db_1 bash
2. 运行脚本：./usr/local/bin/setup-parse-index.sh

幂等性配置

建议启用幂等性，参考Parse Server文档。Postgres可通过cron定期执行[parse_idempotency_delete_expired_rec