ClientLogin から OAuth 2.0 に移行する

YouTube API は OAuth 2.0 を使用してユーザー リクエストを承認します。YouTube API で今後、ClientLogin 認証や同様の認証のサポートが追加されるかどうかという質問がよく寄せられます。ただし、ClientLogin は 2012 年 4 月 20 日に正式に非推奨となりました。このようなメカニズムを追加する予定はありません。

OAuth 2.0 認可のさまざまなフローをサポートすることが ClientLogin よりも YouTube ユーザーにとって優れている理由は多数あります。これらのフローでは、デスクトップ アプリケーション、ウェブ専用アプリケーション、ネイティブ モバイル アプリケーションのユースケースをサポートしています。また、テレビなどの高度な入力メカニズムを持たないデバイスで実行されるアプリケーションもサポートしています。これは ClientLogin では難しいことです。また、ClientLogin は多くのデベロッパーにとってリリース後に問題を引き起こすことがわかりました。その一部については、ブログ投稿の ClientLogin #FAIL で説明しています。

サーバーサイド、スタンドアロン スクリプトでの OAuth 2.0 の使用

多くのデベロッパーは、ClientLogin を使用して、ブラウザのないサーバーで実行されるコマンドライン スクリプトを承認しています。OAuth 2.0 では、ほとんどの場合ブラウザが関与します。例外は、Google Play Services を使用して GoogleAuthUtil. 経由でトークンを取得する Android アプリの場合です。

ウェブ専用フローでは、ユーザーに代わって認証済みの API 呼び出しを行うウェブサイトは、アプリケーションがアクセスしようとしている内容を説明する google.com 認証ページにユーザーをリダイレクトする必要があります。次に、ウェブ アプリケーションは API 呼び出しを作成するために使用するトークンを受け取ります。ユーザーは、connected apps and sites ページを使用して、いつでもアプリのアクセス権を取り消すことができます。

Python コードサンプルでは、コマンドライン スクリプトを使用してブラウザを起動し、ターミナル ウィンドウから API 呼び出しを行う方法、認証リダイレクト後にコードをリッスンするローカル サーバーを作成する方法、今後の API 呼び出し用にトークンを自動的に保存する方法を示しています。以下は、その実践についての動画です:

使用されているトークンは ASCII 文字列です。offline トークンの場合は、ポータブルです。このコードが同じクライアント ID とクライアント シークレットを持つ OAuth 2.0 クライアントをインスタンス化するのであれば、取得されたトークンを使用してデスクトップでスクリプトを実行し、GUI を使用せずにコードをリモート サーバー上にコピーして使用することができます。Python 以外にも、他のプログラミング言語用の Google API クライアント ライブラリには、トークンを管理するためのヘルパー メソッドも用意されています。これらのトークンはクライアント間で共有でき、下位レベルの HTTP ライブラリで直接使用することもできます（クライアント ヘッダー内または URL パラメータとして）。

以下は offline トークンを使用したサーバーサイド スクリプトの例です:

• ディレクトリの新しい動画を監視して YouTube に自動でアップロードするデーモン
• 新しい動画を使用して再生リストのコンテンツを毎日更新する cron ジョブ
• YouTube Analytics API を通じて動画データを監視し、合計再生時間が制限値を超えた場合などの特定のイベントが発生したときにチャンネル管理者に通知するスクリプト。この場合、Analytics API では ClientLogin がサポートされていないので、サポートされる認証方法は OAuth 2.0 のみである点に注意してください。

サーバー サイド プロセスに使用できる offline トークンの生成方法については、長期間有効なアクセス トークンのセクションで詳しく説明します。

クライアント ID とクライアント シークレットのベスト プラクティス

同じクライアント ID とクライアント シークレットのペアを使用するすべてのコードは、同じアクセス トークンを使用できます。クライアント ID とクライアント シークレットへのアクセスを、組織内のマシンおよび端末上で実行されるコードに限定するのが理想的です。

クライアント ID とクライアント シークレットをネイティブ モバイル アプリケーションのコードに含めないでください。携帯端末からの OAuth 2.0 認証を行っているすべてのデベロッパーはインストール済みアプリケーションのクライアント ID を使用する必要があります。これによって自分のチームがリリースしたアプリケーションからしかリクエストが送られていないことを検証するための追加情報を要求します。

Android 端末の場合は、クライント ID とクライアント シークレットを使用する代わりにパッケージ名と署名証明書のハッシュを組み合わせて使用し、アプリケーションを識別します。iOS 端末の場合は Bundle ID と App Store ID が使用されます。この情報を取得する方法については、Google API Console ヘルプページをご覧ください。

YouTube API でサービス アカウントが機能しない

サービス アカウントは YouTube Data API 呼び出しには使用できません。サービス アカウントには関連付けられた YouTube チャンネルが必要であり、新規または既存のチャンネルをサービス アカウントに関連付けることはできません。サービス アカウントを使用して YouTube Data API を呼び出すと、API サーバーはエラータイプが unauthorized、理由が youtubeSignupRequired のエラーを返します。

YouTube API に対するオフライン/長期間有効なアクセス

OAuth 2.0 では短期間有効なトークンと長期間有効なトークンを使用します。1 回限りの操作には短期間有効なアクセス トークンが適しています。このトークンは付与されてから短期間で期限切れとなります。長時間実行されるジョブの場合は、短期のアクセス トークンの取得に使用される更新トークンの取得を検討してください。

アプリが有効期間の短いアクセス トークンではなく、有効期間の長い更新トークンを受け取るようにするには、クライアント ID を作成するときに [インストール済みアプリ] フローを使用し、[インストール済みアプリの種類] の値に Other を選択します。

このユース ケースでは [Installed application] フローの使用をおすすめします。ウェブ アプリケーションで YouTube API への長期間有効なアクセスが必要な場合は、最初の認可リクエストまたはクライアント構成で access_type パラメータを offline に、approval_prompt パラメータを force に設定して取得できます。一部のクライアント ライブラリはアクセス トークンの取得とリフレッシュを管理できます。独自のカスタム認可コードを記述する場合は、コードのベースとして使用できるGoogle Code ブログの投稿をご覧ください。

携帯電話やタブレットなどの端末での OAuth 2.0 の使用

Android アプリを作成する場合、開発者は Google Play services を利用して認可の詳細を処理できます。Google Play 開発者サービスには、YouTube プラットフォームの API を含む すべての Google API の標準承認フローが用意されています。このアプローチでは、ClientLogin を使用したカスタム認証よりも、Android アプリのユーザーに優れたユーザー エクスペリエンスを提供できます。

iOS 端末の場合は、次の 2 つのオプションがあります。

• Google+ Platform for iOS: Google プロダクトのログイン機能を統合し、ソーシャル機能を有効にします。
• gtm-oauth2 toolkit: 認可 UIWebView を提供し、トークンを管理します。

「セカンド ディスプレイ」としての使用を意図した端末や簡単な入力メカニズムを持たないテレビなどの端末には OAuth 2.0 for Devices が適しています。OAuth 2.0 for Devices は、認証リクエストが要求されたときにユーザーにユニーク コードを提供します。この時点で、ユーザーは別のデバイス（ノートパソコンやスマートフォンなど）で http://google.com/device にアクセスし、一意のコードを入力するよう求められます。アプリケーションでは、次のような画面が表示されます。

ユーザーが別の端末からコードを入力している間、アプリケーションは定期的にポーリングしてコードの入力を確認します。コードが入力されると、アプリケーションは API 呼び出しを作成するためのトークンを取得します。この動作はデモでご覧いただけます。これは、ウェブを使用可能なすべての端末で実行できます。API 自体はプラットフォーム非依存なので、ウェブ表示機能を持たない端末にも有効です。デモのPython のサンプルコードを参照として掲載しています。

概要

OAuth 2.0 認証は YouTube での認証が必要なデベロッパーに柔軟性を提供します。ClientLogin に精通しているデベロッパーは、OAuth 2.0 を使用するようにアプリケーションを設定するには、最初に少し手間がかかることを認識しているかもしれません。しかし、一度移植すると、OAuth 2.0 アプリケーションは、エンドユーザーに対して複数のプラットフォームでより高い柔軟性、セキュリティ、ユーザビリティを提供します。

OAuth 2.0 やこの記事の例についてご不明な点がございましたら、StackOverflow で youtube-api タグを使用してお問い合わせください。