我正在开发一个服务器/客户端应用程序,它允许将视频剪辑发布到用户的 YouTube 频道。我们的软件部署在客户拥有和控制的服务器上。
我正在使用带有 OAuth 2.0 的 YouTube 的 Java API v3。
我的问题是 - 在这种情况下我应该如何管理客户机密?
我曾考虑将我自己的客户端机密嵌入到服务器代码中,但配额和使用情况将由我负责。我不确定要求客户获取自己的 Google 开发者帐户并生成自己的客户端机密是否明智...
谢谢!
【问题讨论】:
标签: api youtube youtube-api
要管理客户端机密(您可能已经知道),请在代码中包含 client_secrets.json,如 here 所述。
在您的场景中,建议让客户获取自己的帐户并生成自己的客户端机密。如您所见here,在第 1 部分:帐户和注册下,它说:
b.实体级别接受。 如果您代表实体使用 API,您声明并保证您有权约束 该实体遵守条款并接受条款,即表示您这样做 代表该实体(以及条款中对“您”的所有引用 指那个实体)。
因此,在这种情况下,您的客户接受使用 Google API 的条款和条件也很重要,这要求他们对 API 的任何滥用负责并且不涉及您。作为供应商/企业,远离此类事情总是明智的。因此,要求他们提供自己的客户机密不应该是您应该担心的事情。如果他们担心接受 Google 的 ToS,我会担心他们会做坏事。
希望这会有所帮助。
【讨论】: