Google_Service_Directory - (403) 无权访问此资源/api

Posted 2023-02-23

技术标签:

【中文标题】Google_Service_Directory - (403) 无权访问此资源/api【英文标题】：Google_Service_Directory - (403) Not Authorized to access this resource/api 【发布时间】：2014-12-12 02:28:53 【问题描述】：

我只是使用实际版本的 php api 示例，并使用示例文件夹的“service-account.php”文件时遇到问题。

原件用于显示“Books API”，并且使用我的个人凭据配置它运行良好，但在我的 xcase 中，我需要通过 directory.groups.get 服务访问以获得 google 组的成员帐户列表邮件列表，所以我在此更改原始代码：

<?php

session_start();
include_once "templates/base.php";

/************************************************
  Make an API request authenticated with a service
  account.
 ************************************************/
require_once realpath(dirname(__FILE__) . '/../autoload.php');

/************************************************
 ************************************************/

// MY ACCOUNT DATA HERE
$client_id = 'xxx';
$service_account_name = 'xxx'; //Email Address 
$key_file_location = 'xxx.p12'; //key.p12
$groupKey = 'xxx';

echo pageHeader("My Service Account Access");
if ($client_id == '<YOUR_CLIENT_ID>'
    || !strlen($service_account_name)
    || !strlen($key_file_location)) 
  echo missingServiceAccountDetailsWarning();


$client = new Google_Client();
$client->setApplicationName("Client_Library_Examples");
//$service = new Google_Service_Books($client); //ORIGINAL
$service = new Google_Service_Directory($client);

/************************************************
 ************************************************/
if (isset($_SESSION['service_token'])) 
  $client->setAccessToken($_SESSION['service_token']);

$authArray = array(
                'https://www.googleapis.com/auth/admin.directory.group',
                'https://www.googleapis.com/auth/admin.directory.group.readonly',
                'https://www.googleapis.com/auth/admin.directory.group.member',
                'https://www.googleapis.com/auth/admin.directory.group.member.readonly'
);
$key = file_get_contents($key_file_location);
$cred = new Google_Auth_AssertionCredentials(
    $service_account_name,
    $authArray, //array('https://www.googleapis.com/auth/books'), //ORIGINAL
    $key
);
$client->setAssertionCredentials($cred);
if($client->getAuth()->isAccessTokenExpired()) 
  $client->getAuth()->refreshTokenWithAssertion($cred);

$_SESSION['service_token'] = $client->getAccessToken();


/************************************************
 ************************************************/
//$optParams = array('filter' => 'free-ebooks'); //ORIGINAL
$optParams = array('fields' => 'id');
//$results = $service->volumes->listVolumes('Henry David Thoreau', $optParams); //ORIGINAL
$results = $service->groups->get($groupKey, $optParams);
echo "<h3>Results Of Call:</h3>";
foreach ($results as $item) 
  //echo $item['volumeInfo']['title'], "<br /> \n"; //ORIGINAL
    echo "<pre>".print_r ($item, true)."</pre>";


echo pageFooter(__FILE__);

无论我做什么，为 API SDK 提供授权，并使用刚刚在控制台开发人员的 API 凭据面板中创建的文件和凭据，我都会收到 403 错误。

这是错误堆栈：

#0 /var/www/html/google_local/google-api-php-client-master/src/Google/Http/REST.php(41): 
Google_Http_REST::decodeHttpResponse(Object(Google_Http_Request)) 
#1 /var/www/html/google_local/google-api-php-client-master/src/Google/Client.php(546): 
Google_Http_REST::execute(Object(Google_Client), Object(Google_Http_Request)) 
#2 /var/www/html/google_local/google-api-php-client-master/src/Google/Service/Resource.php(190): 
Google_Client->execute(Object(Google_Http_Request)) 
#3 /var/www/html/google_local/google-api-php-client-master/src/Google/Service/Directory.php(1494): 
Google_Service_Resource->call('get', Array, 'Google_Service_...') 
#4 /var/www/html/google_local/googl in /var/www/html/google_local/google-api-php-client-master/src/Google/Http/REST.php on line 76

有什么建议吗？

谢谢，罗伯托

【问题讨论】：

您的帐户是否具有执行该方法的正确权限？我建议您在这里尝试他们的控制台：developers.google.com/apis-explorer/#p/admin/directory_v1/… - 这样，您可以看到详细且易于理解的解释，说明您为什么会收到 403。嗨，感谢您的回答！是的，控制台在您指示的页面中给了我 200 OK 响应，并且我在developers.google.com/apis-explorer/#p/admin/directory_v1/…中的成员测试中也收到了 200 响应（我想通过编程方式获得的数据）@ Roberto，当您 OAuth 批准 Google 控制台时，请检查它请求权限的范围。它们很可能在 URI 中可见。在您的数组中请求相同的范围。是的，我认为范围没问题，在上面发布的代码中，我将所有内容都放在了 $authArray 数组中。其他建议？您确定您的 Google 帐户被标记为您的域/组的管理员吗？ 【参考方案1】：

问题的根源在于服务账户不是域上的管理员，因此无法访问 Admin SDK Directory API。相反，您需要为您的服务帐户启用domain-wide delegation，然后让服务帐户在发出请求时模拟域管理员：

$cred = new Google_Auth_AssertionCredentials(
    $service_account_name,
    $authArray,
    $key
);
$cred->sub = "admin@yourdomain.com";

【讨论】：

它有效！是的，完全按照这种方式，发布的代码完美运行，我可以读取所有数据！非常感谢！救命稻草！谢谢！在 C# 中，您可以通过制作 GoogleCredential 对象的副本来做到这一点： googleCredential = googleCredential.CreateWithUser("user@domain.com"); 我终于可以结束我两天的授权失败了。非常感谢。 @Elliptica 您可以查看this answer 以获取 Python 解决方案 100+ 喜欢这个！很好的答案。

以上是关于Google_Service_Directory - (403) 无权访问此资源/api的主要内容，如果未能解决你的问题，请参考以下文章