はじめに
apiを利用するにあたり認証フローとエンドユーザの情報管理がよくわからなかったので整理しました。
やりたいこと
- fitbitデータを扱うwebアプリケーションの開発
- ユーザのfitbitデータ(心拍数含む)を、定期的に取得
制約
-
OAuth2.0
- サポートされているのはAuthorization Code GrantとImplicit Grantの2種類
- web applicationはAuthorization Code Grantを推奨
- Implicitが使えるのはApplication TypeがClientのみ
- Authorization Code Grantはaccess tokenの有効期限が8時間
-
Heart Rate
- Intraday Time SeriesはApplication TypeがPersonalのみ
API利用フロー
-
上記制約により以下の2つに従うことにします。
- Application TypeはPersonalでかつAuthorization Code Grantを利用
- 8時間に1度ユーザにaccess tokenを再発行させるのは困難なため、refresh tokenを使って定期的にデータを取得
※図は一部パラメータを省略しています。
-
コメント
- client idとclient secretをセキュアに管理しないといけないです。