我正在尝试使用 YouTube 数据 API V2.0 为我们客户的视频/频道提取数据见解。我有一个开发人员密钥和一个客户端生成的令牌,并成功地弄清楚了如何检索该信息。我的问题是,当我的客户使用该应用程序生成YouTube令牌时,我们要求的访问权限意味着一切并能够"管理"他们的帐户。
这是客户的主要关注点,他们不希望我们拥有这种完全访问权限。有没有办法获取仅具有只读权限的令牌?
非常感谢您的任何帮助!
我已经成功地将https://googleapis.com/auth/youtube.readonly用作作用域;如果您在初始 oAuth 流期间只请求该作用域(而不是同时请求https://googleapis.com/auth/youtube,因为这是将覆盖只读作用域的管理作用域),那么每当尝试需要管理权限的操作(插入, 上传、更新、删除)。
如果您正在使用它们,则适用于 v3 的 google-api 客户端可以非常顺利地处理此问题。如果已编写自己的 oAuth 流控制,则只需确保在请求初始令牌时具有唯一的只读作用域。
编辑以响应评论:要查看此操作(我将使用 JAVASCRIPT 进行演示),您可以使用 API 文档提供的示例代码创建一个简单的演示。以下是一般过程:
1) 在 Google API 控制台中,创建一个"项目"并为该项目授权 YouTube API(在"服务"标签下)。此外,为 Web 应用程序创建一个客户端 ID(在 API 访问选项卡下),并将您的域添加为授权的 Javascript 域。
2) 在您的服务器上,创建 HTML 文件作为您的界面(在此示例中,它旨在让您创建新的播放列表并向其中添加项目)。这是直接来自文档的代码:
<!doctype html>
<html>
<head>
<title>Playlist Updates</title>
</head>
<body>
<div id="login-container" class="pre-auth">This application requires access to your YouTube account.
Please <a href="#" id="login-link">authorize</a> to continue.
</div>
<div id="buttons">
<button id="playlist-button" disabled onclick="createPlaylist()">Create a new Private Playlist</button>
<br>
<label>Current Playlist Id: <input id="playlist-id" value='' type="text"/></label>
<br>
<label>Video Id: <input id="video-id" value='GZG9G5txtaE' type="text"/></label><button onclick="addVideoToPlaylist()">Add to current playlist</button>
</div>
<h3>Playlist: <span id="playlist-title"></span></h3>
<p id="playlist-description"></p>
<div id="playlist-container">
<span id="status">No Videos</span>
</div>
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js"></script>
<script src="auth.js"></script>
<script src="playlist_updates.js"></script>
<script src="https://apis.google.com/js/client.js?onload=googleApiClientReady"></script>
</body>
</html>
3) 在同一位置,使用以下代码创建脚本"playlist_updates.js"(同样,直接从文档中):
// Some variables to remember state.
var playlistId, channelId;
// Once the api loads call a function to get the channel information.
function handleAPILoaded() {
enableForm();
}
// Enable a form to create a playlist.
function enableForm() {
$('#playlist-button').attr('disabled', false);
}
// Create a private playlist.
function createPlaylist() {
var request = gapi.client.youtube.playlists.insert({
part: 'snippet,status',
resource: {
snippet: {
title: 'Test Playlist',
description: 'A private playlist created with the YouTube API'
},
status: {
privacyStatus: 'private'
}
}
});
request.execute(function(response) {
var result = response.result;
if (result) {
playlistId = result.id;
$('#playlist-id').val(playlistId);
$('#playlist-title').html(result.snippet.title);
$('#playlist-description').html(result.snippet.description);
} else {
$('#status').html('Could not create playlist');
}
});
}
// Add a video id from a form to a playlist.
function addVideoToPlaylist() {
addToPlaylist($('#video-id').val());
}
// Add a video to a playlist.
function addToPlaylist(id, startPos, endPos) {
var details = {
videoId: id,
kind: 'youtube#video'
}
if (startPos != undefined) {
details['startAt'] = startPos;
}
if (endPos != undefined) {
details['endAt'] = endPos;
}
var request = gapi.client.youtube.playlistItems.insert({
part: 'snippet',
resource: {
snippet: {
playlistId: playlistId,
resourceId: details
}
}
});
request.execute(function(response) {
$('#status').html('<pre>' + JSON.stringify(response.result) + '</pre>');
});
}
最后,创建文件"auth.js"——这是实际执行 oAuth2 流的代码:
// The client id is obtained from the Google APIs Console at https://code.google.com/apis/console
// If you run access this code from a server other than http://localhost, you need to register
// your own client id.
var OAUTH2_CLIENT_ID = '__YOUR_CLIENT_ID__';
var OAUTH2_SCOPES = [
'https://www.googleapis.com/auth/youtube'
];
// This callback is invoked by the Google APIs JS client automatically when it is loaded.
googleApiClientReady = function() {
gapi.auth.init(function() {
window.setTimeout(checkAuth, 1);
});
}
// Attempt the immediate OAuth 2 client flow as soon as the page is loaded.
// If the currently logged in Google Account has previously authorized OAUTH2_CLIENT_ID, then
// it will succeed with no user intervention. Otherwise, it will fail and the user interface
// to prompt for authorization needs to be displayed.
function checkAuth() {
gapi.auth.authorize({
client_id: OAUTH2_CLIENT_ID,
scope: OAUTH2_SCOPES,
immediate: true
}, handleAuthResult);
}
// Handles the result of a gapi.auth.authorize() call.
function handleAuthResult(authResult) {
if (authResult) {
// Auth was successful; hide the things related to prompting for auth and show the things
// that should be visible after auth succeeds.
$('.pre-auth').hide();
loadAPIClientInterfaces();
} else {
// Make the #login-link clickable, and attempt a non-immediate OAuth 2 client flow.
// The current function will be called when that flow is complete.
$('#login-link').click(function() {
gapi.auth.authorize({
client_id: OAUTH2_CLIENT_ID,
scope: OAUTH2_SCOPES,
immediate: false
}, handleAuthResult);
});
}
}
// Loads the client interface for the YouTube Analytics and Data APIs.
// This is required before using the Google APIs JS client; more info is available at
// http://code.google.com/p/google-api-javascript-client/wiki/GettingStarted#Loading_the_Client
function loadAPIClientInterfaces() {
gapi.client.load('youtube', 'v3', function() {
handleAPILoaded();
});
}
请注意其中的OAUTH2_SCOPES常量。它设置为允许完全管理访问权限,因此,如果您随后访问浏览器中的 html 页面并单击"授权"链接,您应该会看到一个窗口,要求您授予您的域访问权限来管理您的 YouTube 帐户。这样做,然后代码变得可用...您可以将播放列表和播放列表项目添加到您心中的内容中。
但是,如果您修改身份验证.js以使OAUTH2_SCOPES如下所示:
var OAUTH2_SCOPES = [
'https://www.googleapis.com/auth/youtube.readonly'
];
并清除您的 cookie(以避免继承您已经授予的权限......只需关闭浏览器并重新启动就足够了),然后重试(访问 HTML,单击授权链接),您会看到这次它要求您仅授予查看帐户的权限而不是管理它。如果您授予该权限,则当您尝试通过界面添加播放列表时,会出现一条错误消息,指出您无法创建播放列表。
如果你没有使用javascript,而是使用服务器端语言,正如我提到的,gapi客户端非常流畅。但是,这些客户端中对 oAuth2 范围的处理并不那么透明,而且它们在设计上是"贪婪的"(因为,当它将服务终结点抽象为对象时,它将请求在该终结点执行任何操作所需的最彻底的范围......因此,即使您只打算执行列表调用,如果服务也具有更新操作,客户端也会请求完全管理权限)。但是,如果您想进入客户端代码,则可以对其进行修改 - 或者您可以将其用作创建自己的简化客户端的模型,您可以在范围方面进行精细控制。
这几乎是我在不了解您的底层技术的情况下所能做到的彻底。希望解释有帮助!