我有一个系统,用户可以在其中向他的个人资料中添加内容,例如任何youtube视频,我验证视频url,然后调用API获取视频详细信息,如标题、描述和详细信息。没有其他操作,没有更新\编辑操作。
现在我使用公共的API密钥来授权请求,我也把我的系统域作为白名单
$http.get('https://www.googleapis.com/youtube/v3/videos?id='+视频ID+'&key={{my_key}}'+'&part=代码段')
关于安全问题,我是否需要使用OAuth 2.0来发布用于验证请求的令牌?如果有人跟踪了请求并捕获了密钥,我是否需要通过OAuth来防止这种情况发生,或者谷歌开发者控制台有一种方法只能让它进行读取操作。
谢谢。
您不需要OAuth2来读取公共信息。
正如您所看到的videos.list,没有列出它的授权范围。