zoom-meeting-admin
Installation
SKILL.md
Zoom Server-to-Server OAuth REST API
权限与约束
本 Skill 通过 scripts/zoom-s2s.py 调用 Zoom Server-to-Server OAuth REST API,不实现"通用 REST 代理"。
- 声明的工具:
Bash(python3:*)(执行scripts/zoom-s2s.py)、Bash(ls:*)/Bash(cat:*)(查看脚本输出与缓存)、Read(读取凭证文件与文档)。 - 网络访问:向
https://zoom.us/oauth/token与https://api.zoom.us/v2/*发起 HTTPS 请求,传输头包含Authorization: Bearer <token>。 - 文件写入:在
~/.zoom-s2s-token.json缓存访问令牌(已自动chmod 600)。 - 凭证读取:从仓库根目录的
.env读取ZOOM_ACCOUNT_ID/ZOOM_CLIENT_ID/ZOOM_CLIENT_SECRET/ZOOM_USER_ID。 - 允许的 Action(白名单)——禁止构造任意 Zoom REST 请求或调用未列出的端点:
- 会议:
list_meetings/get_meeting/create_meeting/delete_meeting - 用户:
get_user/list_users - 录像:
recordings
- 会议:
- 越权防护:脚本未导出
api_call给上层调用;不得通过修改脚本、注入参数、拼接 URL 等方式旁路调用白名单外的 Zoom 端点(如DELETE /users/{id}、PATCH /accounts/{id}等高风险端点)。 - 强人类确认:
create_meeting与delete_meeting在执行前必须获得用户显式确认;delete_meeting命令还需附加--yes参数。