我希望用户将视频上传到我的YouTube频道。这很重要。频道不是用户频道,而是我的频道。
解决上一个问题(youtube v3 CORS 未考虑返回的"访问控制-允许来源"),我想我试图实现的目标是否正确和适当。
问题是:我是否可以拥有一个仅对一个特定上传有效且不能用于上传其他视频和在频道上进行其他更改的访问令牌?因为一旦我将访问令牌返回给用户,他/她就可以获取此访问令牌并对我的 youtube 频道进行修改。
情况如下:
- 我有一个客户端和一个服务器。 服务器使用 API v3
- 将代码段上传到 youtube 并获取可恢复网址(用于可恢复上传的 Youtube v3 API - https://developers.google.com/youtube/v3/guides/using_resumable_upload_protocol)。
- 此 URL 和访问令牌从服务器发送到浏览器,浏览器在其中发出 ajax PUT 请求以将实际文件上传到可恢复 URL。这样,文件不会传输到服务器,而是直接从客户端上传。
同样,问题是:我是否可以拥有一个仅对一个特定上传有效且不能用于上传其他视频和在频道上进行其他更改的访问令牌?因为一旦我将访问令牌返回给用户,他/她就可以获取此访问令牌并对我的 youtube 频道进行修改。
我想这是不可能的。 您既不能使特定access_token无效,也不能不存在仅对单个任务有效的令牌。
可以通过编程方式撤销令牌并删除之前授予的所有权限。但这实际上不是您想要的,因为由于它是您自己的令牌,您的服务器将不再能够生成新的access_tokens。
我建议您重新考虑您的设置,因为您永远不应该向随机用户提供access_token。您对上传到您频道的所有内容负责。
没有办法绕过它,用户必须上传到您的服务器,您的服务器处理上传到 youtube。但仍然记住,这是您的频道...