Ako sa programovo prihlasit do YouTube?

[bakalakadaka]

Riesim teraz taku situaciu ze ked mi uzivatel nalinkuje v online formulari audio alebo video z youtube, bitchute, odysee, rumble, soundcloud..., tak si chcem overit ze to video patri jemu. Robim to tak ze si zistim v jeho profile ci mu patri kanal pod ktory spada video.

Uzivatel mi musi spolu s odkazom poslat aj jeho pristupove udaje do danej sluzby. Tieto su len v ramke pocas toho kedy beckend urobi nutne http requesty na danu sluzbu, inak sa nikde neukladaju ani nijako nespracuvaju a uzivatel je o tom informovany(plus ide o overeneho uzivatela s ktorym som v existujucom obchodnom vztahu).

Bitchute som zvladol poriesit ale teraz pozeram na youtube a tam je to dost katastorfa lebo na autentifikaciu pouziva javascript ktory tam na backend posiela plno sraciek. Chcel by som preto vediet ci nahodou niekto neprisiel na vsetky tie atributy ktore sa tam maju posielat a v akom formate, ak mam teda k dispozicii email a heslo?

Konkretne hovorim o https://accounts.google.com/v3/signin/identifier?service=youtube&flowName=GlifWebSignIn

Jasne ze youtube je mozne riesit oauth tokenom alebo klucom, lenze to je pre de facto 100% uzivatelov prilis komplikovane vobec rozbehat(aj som teraz pozeral ze to google preniesol do ich cloudu takze to dokonca ani nie je v youtube rozhrani, cista katastrofa proste).

Teoreticky by som mohol len porovnat email uzivatela v mojom systeme s emailom v youtube kanaly, problem je ze tam nemusi byt a google to ma navyse zasite za captchout zase takze proste sa neda moc inak nic robit.

[Reklama]

[alex6bbc]

tak pristupove udaje k jakekoliv sluzbe nedam ani manzelce, takze mas v tom logickou chybu.

takze bych sel cestou nejakeho klice, ktery muze potvrdit pravost. takze oauth apod. ano, chtit jmeno a heslo
to je metoda a la "stalin" :-)

[bakalakadaka]

Akoze suhlasim ale moc sa s tym neda robit. Respektive ak mas napad ako inak verifikovat autorstvo tak sem s nim.
Pri youtube je kluc ok, mozem poskytnut nejaky navod pre uzivatelov ako si ho vygenerovat. Ale zase nie vsetky video hostingy(podporovane sluzby) to tak maju. Preto som chcel nechat jednotny format meno/heslo.

Mozem chciet napriklad aby ludia dali do popisu videa nejaky kod, cim sa overi ze uzivatle ma nalezite prava, ale to je neprakticka otrava pre bezneho uzivatela.

[bakalakadaka]

Ah, tak som na to prisiel. Najlahsie bude ked len uzivatel da do popisu kanalu, na hociakej platforme, kod ktory mu urcim, a ja si len stiahnem info, pozriem ci je tam kod a nastavim uzivatela ako overeneho pre dany kanal/platformu

[kanoe22]

Je tam hned viacero chyb.
Prva je ze pytas login udaje do danej sluzby po klientovy. Toto keby po mne nejaka sluzba chcela, tak odchadzam a viac krat sa tam nevratim. Aj keby bola jedina svojho druhu na svete, radsej si pockam na konkurenciu ktora vie co robi.

Po druhe, pises ze login udaje su iba v ramke, ale uzivatelia ti ich posielaju cez formular. Ten formular je niekde ukladany, nie? Cize nie su iba v ramke.

Dnes sa pomaly kazda platforma snazi byt all-in-one (citaj FB, email, youtube, ulozisko a co ja viem co dalsie vsetko naraz). Predpokladam, ze na nich bude existovat nejaka moznost napisat ti spravu, alebo ta kontaktovat inym sposobom. To ako to teraz robis je recept na katastrofu, ked ta niekto hackne (vychadzam z predpokladu ze ten formular je niekde ulozeny) tak ziska pristup k x roznym loginom na rozne platformy len tak zdarma.

Taketo patlanie by malo byt trestne kurna.

[Reklama]

[Kamil Podlešák]

Přesně pro tyto případy existuje oauth2.
Zaráží mě ty zmínky o "složitém rozběhání" nebo "generování tokenu" - nic takového tam není!

Z hlediska uživatele se prostě objeví login stránka (a ani to spíš ne, pravděpodobně je v browseru již přihlášen) a pak speciální formulář "aplikace XZY od bakalakadaka žádá o přístup k ABC: povolit?"
Takže povolí (nebo ne).

Z hlediska uživatele triviální a bezpečné (všechno na pravé google doméně). Z hlediska programátora trochu složitější, ale furt jednodušší než se pokoušet vylákat z uživatele heslo a pak se snažit ho protlačit před login stránku (to je schválně těžké, google tyhle šmejdoviny fakt podporovat nechce).

[hmmmw]

Souhlasím s Kamilem, použij prostě oauth2.

Marně přemýšlím, nad produktem nebo situací, kde děláš to, co děláš. Proč potřebuješ ověřovat autorství odkazovaného kanálu?

[bakalakadaka]

Souhlasím s Kamilem, použij prostě oauth2.

Marně přemýšlím, nad produktem nebo situací, kde děláš to, co děláš. Proč potřebuješ ověřovat autorství odkazovaného kanálu?

Ako som pisal, tu islo primarne o to podporovat viacero sluzieb naraz unifikovanou metodou, kde nie vsetky maju API a kde ako som pisal rozbehat to na Youtube konrketne je dost problematicke pre BFU, plus existuje dovera medzi uzivatelmi a mnou. Ale ako som pisal, dospel som k tej druhej metode ktora je najlepsie riesenie pre to o co mi ide.

Co sa tyka dovodu - nechcem aby uzivatel embedoval cudzi obsah, to je cele.

[jjrsk]

...

Slovensko uz vystoupilo z EU? Vis ze uz jen pozadavek na takove udaje je v cele EU ilegalni? A pocitej s tim, ze az se to proflakne, jako ze se to proflakne vzdy, obratem zabanuje goole nejen tebe, ale zrusi ucty i vsem uzivatelum kteri ti to heslo daji. A pripadni dalsi samozrejme taktez.

Ty si jako myslis, ze kdyz uploadnu na yt nejake video, ze musim byt jeho autor? lul ... reuploadu je tam 99%.

[Kamil Podlešák]

Souhlasím s Kamilem, použij prostě oauth2.

Marně přemýšlím, nad produktem nebo situací, kde děláš to, co děláš. Proč potřebuješ ověřovat autorství odkazovaného kanálu?

Ako som pisal, tu islo primarne o to podporovat viacero sluzieb naraz unifikovanou metodou, kde nie vsetky maju API a kde ako som pisal rozbehat to na Youtube konrketne je dost problematicke pre BFU

To je právě to co nechápu - jak je to problematické pro BFU? Celé mi to zní jako špatné pochopení fungování oauth2, kterýžto protokol je speciálně navržen právě pro tento případ a pro BFU.

Jediné co mě napadá je, že to co potřebuješ není vůbec dostupné přes žádné API a potřebuješ dané informace scrapovat přímo z HTML. V tom případě asi fakt není jiná možnost, ale počítej s tím že to budeš muset několikrát do roka přepisovat. V tom lepším případě; v tom horším tě a všechno používaná konta zablokují (zas tak moc pravděpodobné to není, ale stát se to opravdu může).