OSS私有的话用户不能上传，公有用户就会知道密钥，怎么办啊

ECS上放了一个展示个人视频的网站程序，打算把视频放入OSS
写一个上传视频的客户端，用户都可以上传和观看视频，但是不允许用户删除。

方案一
客户端用FTP方式传入ECS
然后ECS里编写一个服务端不断检测和自动审核FTP中的视频，审核通用的视频由服务端自动PUT到OSS中。
权限设置：用公共读，只需要在ECS里写入access key获得删除视频的权限，用户是不知道的。
优点：FTP可以给每个用户不同的文件夹，分别设置权限很方便
缺点：需要写一个服务端，审核，转发，好像有点麻烦

方案二
客户端用OSS的API接口直接传入OSS。
然后ECS里编写一个服务端不断检测和自动审核OSS中的视频，不符合要求的视频由服务端调用API删除
权限设置：不会
优点：视频一步到位，直接进入到OSS
缺点：每个客户端里都有access key，用户一旦发现了，后果可怕。（而且仍然要写一个服务端不断扫描OSS里的视频）

疑问一：应该选哪个方案呢？bucket权限怎么设置呢？
疑问二：现有10个bucket，如果某人知道了access key，是不是他就可以删除我所有的bucket?

诚心求教，谢谢