Qu'est-ce qu'une API d'accès aux données patient?
Nous avons souvent besoin d'accéder aux données d'un patient particulier tout en veillant à ce que cet accès lui soit limité. Il est possible d'y parvenir en ajoutant un paramètre de recherche par référence patient à chaque requête, mais le serveur FHIR Aidbox adopte une autre approche : il utilise les portées SMART on FHIR et le contexte patient dans le jeton d'autorisation pour restreindre l'accès aux ressources associées au patient.
API d'accès patient : Implémentation
Pour restreindre l'accès aux données d'un patient précis dans Aidbox, la requête doit satisfaire aux conditions suivantes :
- Le jeton d'autorisation doit être un JWT valide;
- Ce jeton doit contenir uniquement des portées de niveau patient dans la revendication « scope »;
- Le jeton JWT doit contenir l'identifiant du patient dans la revendication « context.patient ».
Grâce à cette approche, vous pouvez avoir la certitude qu'il ne sera pas possible de récupérer, via l'API FHIR, les données de patients autres que ceux spécifiés dans le contexte. Voici un exemple de revendications de jeton JWT :
{
...
"atv": 2,
"scope": "launch/patient openid fhirUser offline_access patient/*.cruds",
"context": {
"patient": "patient-id"
}
...
}
Voir aussi : Aide-mémoire sur l'API standardisée pour les DSE.





