google oauth2 使用 user@gmail.com 模拟服务帐户答案

【问题标题】：google oauth2 impersonate service account with user@gmail.comgoogle oauth2 使用 user@gmail.com 模拟服务帐户
【发布时间】：2017-01-23 10:08:32
【问题描述】：

我想访问一些 google api 服务：

GDrive API
联系 API
人员 API

我正在努力使用 oauth2 模拟服务帐户流程（您知道那个：Google Oauth v2 - service account description。对于模拟，您需要在 google 应用程序控制台中应用“委托域范围的权限”，下载相应的 pk12 文件并在 google 控制台项目中激活 api。

此刻我总是得到：

com.google.api.client.auth.oauth2.TokenResponseException: 401 Unauthorized
at com.google.api.client.auth.oauth2.TokenResponseException.from(TokenResponseException.java:105)
at com.google.api.client.auth.oauth2.TokenRequest.executeUnparsed(TokenRequest.java:287)
at com.google.api.client.auth.oauth2.TokenRequest.execute(TokenRequest.java:307)
at com.google.api.client.googleapis.auth.oauth2.GoogleCredential.executeRefreshToken(GoogleCredential.java:384)
at com.google.api.client.auth.oauth2.Credential.refreshToken(Credential.java:489)
at oauthsample.GDriveAPI.<init>(GDriveAPI.java:50)
at oauthsample.GDriveAPI.main(GDriveAPI.java:85)

这是我的代码：

        HttpTransport httpTransport = new NetHttpTransport();
        JacksonFactory jsonFactory = new JacksonFactory();    

        Set<String> scopes = new HashSet<String>();
        scopes.add("https://www.google.com/m8/feeds");

        GoogleCredential credential = new GoogleCredential.Builder()
                .setTransport(httpTransport)
                .setJsonFactory(JSON_FACTORY)
                .setServiceAccountId("myserviceuser@xxxxxx.iam.account.com")
                .setServiceAccountPrivateKeyFromP12File(new File("somep12key.p12"))
                .setServiceAccountScopes(scopes)
                .setServiceAccountUser("my_user_name@gmail.com")
                .build();

       credential.refreshToken();
       ContactsService service = new ContactsService("MYAPP");
        service.getRequestFactory().setHeader("User-Agent", "MYAPP");
        service.setHeader("GData-Version", "3.0");
        service.setOAuth2Credentials(credential);

        URL feedUrl = new URL("https://www.google.com/m8/feeds/contacts/default/full");
        ContactFeed resultFeed = service.getFeed(feedUrl, ContactFeed.class);

我还通过 stackoverflow 进行了大量搜索（无法列出所有引用并检查了响应和解决方案）。但是一个问题从来没有得到明确的回答——谷歌的文档和所有的 stackoverflow 帖子都没有：

真的可以用普通 user@gmail.com 用户模拟服务帐户吗（我的意思是普通 gmail 帐户无法访问“将域范围的权限委派给服务”一章中提到的管理控制台帐户”并且没有自己的域）？

有人说是，有人说不是。那么什么是绝对真理呢？

据我在阅读谷歌文档时了解：服务帐户只能在您负责自己的域时模拟用户，并且您需要拥有一个注册了您自己的域的谷歌工作帐户。然后，您就可以访问管理控制台并授予对服务帐户的访问权限。

感谢您的耐心等待并抽出时间回答。

最好的问候马特

【问题讨论】：

真的可以冒充服务帐号吗？当我们有客户端登录时，怀疑它可能会回来。我从来没有让它与 Oauth 一起工作。我印象深刻的是，您能够混合发现 API 和 gdata api，这并不容易 :)
作为进一步的输入，我只能说上面的代码是大量尝试和错误以及 stackoverflow 解决方案的混合体。我的代码中断的地方是“credential.refreshToken();”行所以我想我无法获得新的授权令牌。是的，你是对的，它是 gdata 和发现 api 的混合体……但这不是重点。您可以实例化任何您想要的服务（People API、Gdrive API，...），除非您有正确且有效的 oauth 凭证设置。
服务帐户不需要它。注意：我不是java程序员。
你是对的，实际上首先创建新的凭证并再次刷新令牌并没有多大意义。如果我用“credential.refreshToken()”注释掉代码，我的代码会在最后一行出现 NPE：“线程“main”中的异常 java.lang.NullPointerException：没有身份验证头信息”。所以还是不行。很奇怪吧？

标签： java service google-oauth impersonation account

【解决方案1】：

简短的回答是否定的，不可能模拟@gmail.com 帐户的服务帐户。关键原因是，尽管服务帐户 OAuth 流程不涉及授权屏幕，但最终还是有人说“我授权此应用程序模拟此用户”。

对于 Google Apps 域，此人是域管理员，有权为域中的所有用户批准应用程序。对于@gmail.com 帐户，没有其他机构可以代表您批准此操作。而且，如果您无论如何都必须要求用户授权，那么使用常规的 3-legged OAuth 流程来提示用户进行授权、获取刷新令牌等是有意义的。

现在有一段时间有一个技巧，您可以让@gmail.com 用户通过常规的 3-legged 流程，一旦他们批准它，从那时起使用服务帐户流程。然而，这会导致一些奇怪的问题，因此我们禁用了该选项。这可能是过去关于这是否可能存在分歧的原因。

【讨论】：

嗨，埃里克，谢谢您的澄清。谷歌是否可以用类似这样的句子更新 OAuth 文档：“不可能只使用 gmail 帐户并且没有在谷歌注册的域来模拟服务帐户。”？我不想使用您提到的技巧（被劫持的 3-legged OAuth）。这是邪恶的。