我正在开发一个服务器/客户端应用程序,该应用程序允许将视频片段发布到用户的YouTube频道。我们的软件部署在客户拥有并控制的服务器上。
我正在使用YouTube的Java API v3和OAuth 2.0。
我的问题是,在这种情况下,我应该如何管理客户机密?
我曾考虑将自己的客户端机密嵌入到服务器代码中,但随后配额和使用将由我负责。我不确定要求客户获得自己的谷歌开发者账户并生成自己的客户机密是否明智。。。
谢谢!
要管理客户端机密(您可能已经知道了),请在代码中包含client_secrets.json,如下所述。
在您的场景中,建议客户获得自己的帐户并生成自己的客户机密。正如您在这里看到的,在第1节:账户和注册下,它说:
b。实体级验收如果您代表实体使用API,则表示并保证您有权绑定该实体遵守条款,并且通过接受条款,您就是在这样做代表该实体(以及条款中对"您"的所有提及指代该实体)。
因此,在这种情况下,同样重要的是,您的客户接受使用Google API的条款和条件,该条款和条件约束他们对API的任何滥用负责,而不涉及您。作为一个供应商/企业,避开这些事情总是明智的。因此,你不应该担心要求他们提供自己的客户机密。如果他们担心接受谷歌的ToS,我会担心他们做得不好。
希望这能有所帮助。