YouTube Data API v3没有泄漏访问令牌

时间:2015-04-27 17:17:18

标签: javascript amazon-s3 google-api youtube-api

我正在开发一项网络服务,用户可以登录并将视频上传到我的YouTube频道。只要我知道谁上传了什么内容,我就可以拥有未经批准的内容。此外,我想避免在我自己的服务器上处理文件上传。

我开始在YouTube Data API v3之上构建一个简单的概念验证。使用OAuth,我为我的帐户获取了refresh_token。每次用户访问我的服务时,我都会确保我有一个具有上传权限的有效access_token(我可以从refresh_token生成一个)。因为我不想处理文件上传,所以我使用https://github.com/youtube/api-samples/tree/master/javascript中的代码来构建JavaScript上传器。它需要一个access_token才能正常运行,因此JS通过ajax调用从后端获取一个。

现在,问题是我无法确定是谁上传了什么。其中一个用户可以从他的浏览器中获取令牌,并从我的网站(以及我的控件)发起许多视频上传。我不知道是谁做的。我正在考虑为每个用户生成一个单独的令牌,但似乎无法知道哪个访问令牌用于上传特定的视频。

有没有办法确定谁在没有处理文件上传的情况下上传了什么?也许类似于AWS请求签名,但对于YT Data API?我浏览了文档但找不到任何内容。

以不同的方式表达:是否有一种方法可以隐藏用户的access_token,但仍然有一个基于JavaScript的上传器直接进入YouTube?

或者,我可以将这些文件发送到S3(我可以在其中签署请求并知道谁上传了什么内容)并且有一个后台工作可以将这些视频传输到youtube。然而,这是一个缓慢而昂贵的过程。

0 个答案:

没有答案