Accès aux données et autorisation

L'API Google Health utilise un framework robuste et standardisé pour gérer l'accès aux données utilisateur et leur sécurité. Un élément central de cette modernisation est la transition de l'ancienne autorisation Fitbit (FOT) vers Google OAuth 2.0. Ce changement permet aux développeurs d'exploiter les bibliothèques d'authentification Google standards, ce qui simplifie l'implémentation tout en offrant aux utilisateurs une interface familière et centralisée pour gérer leurs autorisations.

Enregistrement de l'application

Toutes les applications Google Health API doivent être enregistrées à l'aide de la console Google Cloud, qui sert de plate-forme centrale pour gérer toutes vos applications Google.

Pour savoir comment enregistrer votre application, suivez les étapes décrites dans Premiers pas. Voici les différences que vous remarquerez lors de l'enregistrement de vos applications.

API Web Fitbit API Google Health
Lien(s) public(s) https://dev.fitbit.com/apps https://console.cloud.google.com
Ajouter une application Appuyez sur Enregistrer une nouvelle application.
  1. Créer un projet Google Cloud
  2. Activez l'API Google Health.
Informations générales Champs à remplir :
  • Nom de l'application
  • Description
  • URL du site Web de l'application
  • Organisation
  • URL du site Web de l'organisation
  • URL des conditions d'utilisation
  • URL des règles de confidentialité
 Champs à remplir :
  • Nom de l'application
  • Adresse e-mail d'assistance
  • Audience (interne ou externe)
  • Adresse e-mail de contact
  • Icône de logo
  • URL du site Web de l'application
  • URL des règles de confidentialité
  • URL des conditions d'utilisation
  • Domaine autorisé
Types d'applications Le développeur doit sélectionner :
  • Serveur
  • Client
  • Personal
  • Application Web
  • Android
  • Extension Chrome
  • iOS
  • Téléviseurs
  • Application de bureau
  • Plate-forme Windows universelle
ID client Enregistré lorsque les paramètres de l'application sont enregistrés Enregistré séparément
Type d'accès L'accès en lecture et en écriture est contrôlé au niveau de l'application. L'accès en lecture et en écriture est contrôlé au niveau du champ d'application.
URL supplémentaires
  • URL de redirection : site vers lequel les utilisateurs sont redirigés après avoir autorisé les niveaux d'accès.
  • Origines JavaScript autorisées : origine HTTP qui héberge l'application Web
  • URL de redirection : site vers lequel les utilisateurs sont redirigés après avoir autorisé les niveaux d'accès.

Implémentation d'OAuth

Les applications de l'API Google Health ne sont compatibles qu'avec les bibliothèques clientes Google OAuth2. Des bibliothèques clientes sont disponibles pour les frameworks courants, ce qui simplifie l'implémentation d'OAuth 2.0. Voici les différences entre les bibliothèques Google OAuth2 et les bibliothèques OAuth2 Open Source :

API Web Fitbit API Google Health
Compatibilité avec la bibliothèque OAuth2 Open Source Bibliothèques clientes Google OAuth2
Fonctionnalité Incohérence entre les plates-formes Cohérence entre les plates-formes
URL d'autorisation https://www.fitbit.com/oauth2/authorize https://accounts.google.com/o/oauth2/v2/auth
URL du jeton https://api.fitbit.com/oauth2/token https://oauth2.googleapis.com/token
Durée de vie du jeton d'accès 8 heures 1 heure
Taille du jeton d'accès 1 024 octets 2 048 octets
Jeton d'actualisation Les jetons d'actualisation sont générés lorsque vous utilisez le flux d'attribution du code d'autorisation. Un seul jeton d'actualisation peut être généré pour un utilisateur. Les jetons n'expirent jamais et ne peuvent être utilisés qu'une seule fois. Pour générer un jeton d'actualisation, la chaîne d'autorisation doit contenir le paramètre de requête "access_type=offline". Il est possible de créer plusieurs jetons d'actualisation pour un même utilisateur. Les jetons d'actualisation peuvent être basés sur le temps. Ils expirent s'ils n'ont pas été utilisés depuis six mois, si l'utilisateur a accordé un accès limité dans le temps ou si l'application est en mode "Test". Pour en savoir plus, consultez Expiration du jeton d'actualisation.
Réponse du jeton La réponse JSON contient les éléments suivants :
  • jeton d'accès
  • expiration du jeton d'accès
  • scopes
  • type de jeton
  • jeton d'actualisation
  • ID utilisateur
 La réponse JSON contient les éléments suivants :
  • jeton d'accès
  • expiration du jeton d'accès
  • scopes
  • type de jeton
  • jeton d'actualisation

Pour obtenir l'ID utilisateur, utilisez le point de terminaison users.getIdentity.

Les utilisateurs Fitbit doivent redonner leur consentement à votre nouvelle intégration, car votre application utilise une bibliothèque OAuth différente. Il n'est pas possible de transférer des jetons d'accès et d'actualisation vers l'API Google Health et de les faire fonctionner.