以“.../api/fhirproxy/Patient”结尾的链接对于代理部署是正确的。

我建议您进行快速测试，以确保无需代理即可访问 FHIR API。您可以使用现有部署并按照 https://docs.microsoft.com/en-us/azure/healthcare-apis/access-fhir-postman-tutorial 中的说明进行操作。

一旦您开始工作，请使用代理测试 FHIR API。您可以从禁用其安全性的代理开始（FHIR api 仍然需要安全性，您无法禁用它）。一旦你开始工作，你就可以启用代理的安全性。

由于代理是一个充当代理的网络应用程序，您将需要两组凭据，一组用于 FHIR api 本身，您在代理应用程序中指定，另一组用于代理 Web 应用程序，您在您的客户端应用程序中指定，例如邮递员或卷发。

错误的原因其实很简单，你用错了scope。

通常 401 错误意味着您的令牌的受众与您的 api 不匹配。使用token调用api时，会收到401未授权错误。访问令牌是根据受众发布的，因此您必须确保在请求令牌时将 scope 设置为您的 api。当然你也可以解析token，检查aud声明，确定是你要调用的api。

因此，根据您的要求，尝试将scope更改为：https://func-fhir-proxy-2.azurewebsites.net/.default

顺便说一句，如果你想调用api，你应该使用access token而不是refresh token和id token。

我设法解决了这个问题。我发现auth URL中需要资源ID：

这可以从企业应用程序获得：

此外，创建两个单独的应用注册：