使用 Google OAuth2 的非交互式授权
Non-interactive authorization with Google OAuth2
我创建了一个 Java 应用程序,用于执行 MS Active Directory 与 Google 组的同步。它是非交互式应用程序,假设由 cronjob 在夜间执行。
它在我的笔记本电脑(DEV 环境)上运行得非常好。
我的问题是,在第一个 运行 时,它会弹出浏览器 window,对话框要求授权访问 Google API。在我点击 "Allow" 按钮后,它愉快地进行到最后。
现在我需要将它移动到 运行s CentOS 并且没有浏览器的生产服务器。
当我 运行 我的应用程序在此环境中时,它会打印以下消息:
Please open the following address in your browser:
https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=520105804541-c7d7bfki88qr8dbkv6oahp22i3oq1jq0.apps.googleusercontent.com&redirect_uri=http://localhost:50089/Callback&response_type=code&scope=https://www.googleapis.com/auth/admin.directory.group.member%20https://www.googleapis.com/auth/admin.directory.orgunit%20https://www.googleapis.com/auth/admin.directory.device.mobile.action%20https://www.googleapis.com/auth/admin.directory.orgunit.readonly%20https://www.googleapis.com/auth/admin.directory.userschema%20https://www.googleapis.com/auth/admin.directory.device.chromeos%20https://www.googleapis.com/auth/admin.directory.notifications%20https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly%20https://www.googleapis.com/auth/admin.directory.device.mobile%20https://www.googleapis.com/auth/admin.directory.group.readonly%20https://www.googleapis.com/auth/admin.directory.group.member.readonly%20https://www.googleapis.com/auth/admin.directory.userschema.readonly%20https://www.googleapis.com/auth/admin.directory.user.alias%20https://www.googleapis.com/auth/admin.directory.user.security%20https://www.googleapis.com/auth/admin.directory.device.mobile.readonly%20https://www.googleapis.com/auth/admin.directory.user%20https://www.googleapis.com/auth/admin.directory.user.readonly%20https://www.googleapis.com/auth/admin.directory.user.alias.readonly%20https://www.googleapis.com/auth/admin.directory.group%20https://www.googleapis.com/auth/apps.groups.settings
这台机器上没有浏览器,但如果我尝试在另一个机器上 运行 它,我会收到错误 400 - 无效请求。
原因很明显,因为它重定向到 localhost:50089 并且没有人在另一台机器上侦听该端口。
通过 developers.google.com 上的多个文档和示例,我找到了一种通过创建服务帐户并为其生成主键来绕过对话框的方法。
try {
GoogleCredential cr = GoogleCredential
.fromStream(new FileInputStream(keyFile))
.createScoped(SCOPES);
Directory directory = new Directory.Builder(httpTransport, jsonFactory, cr)
.setApplicationName(config.getProperty("google.application.name")).build();
} catch (IOException ex) {
LOG.error("Failed to establish access credentials : ", ex.getMessage());
}
它确实读取密钥并创建目录实例,但对它的任何请求都会导致 403 响应代码
{ "code" : 403, "errors" : [ { "domain" : "global", "message" :
"Not Authorized to access this resource/api", "reason" : "forbidden"
} ], "message" : "Not Authorized to access this resource/api" }"
但是我已经把这个账号的所有权限都委托给了服务账号。不知道我还能做什么。
如果有人能帮我解决这个问题,我将不胜感激。
我找到了解决方案。问题是 Google 生成的 JSON 密钥没有设置服务帐户用户。您必须像这样手动执行此操作:
GoogleCredential cr = GoogleCredential
.fromStream(new FileInputStream(keyFile))
.createScoped(SCOPES);
GoogleCredential.Builder builder = new GoogleCredential.Builder()
.setTransport(httpTransport)
.setJsonFactory(jsonFactory)
.setServiceAccountScopes(SCOPES)
.setServiceAccountId(cr.getServiceAccountId())
.setServiceAccountPrivateKey(cr.getServiceAccountPrivateKey())
.setServiceAccountPrivateKeyId(cr.getServiceAccountPrivateKeyId())
.setTokenServerEncodedUrl(cr.getTokenServerEncodedUrl())
.setServiceAccountUser(user);
Directory directory = new Directory.Builder(
httpTransport, jsonFactory, builder.build())
.setApplicationName(config.getProperty("google.application.name")).build();
我创建了一个 Java 应用程序,用于执行 MS Active Directory 与 Google 组的同步。它是非交互式应用程序,假设由 cronjob 在夜间执行。 它在我的笔记本电脑(DEV 环境)上运行得非常好。 我的问题是,在第一个 运行 时,它会弹出浏览器 window,对话框要求授权访问 Google API。在我点击 "Allow" 按钮后,它愉快地进行到最后。 现在我需要将它移动到 运行s CentOS 并且没有浏览器的生产服务器。 当我 运行 我的应用程序在此环境中时,它会打印以下消息:
Please open the following address in your browser:
https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=520105804541-c7d7bfki88qr8dbkv6oahp22i3oq1jq0.apps.googleusercontent.com&redirect_uri=http://localhost:50089/Callback&response_type=code&scope=https://www.googleapis.com/auth/admin.directory.group.member%20https://www.googleapis.com/auth/admin.directory.orgunit%20https://www.googleapis.com/auth/admin.directory.device.mobile.action%20https://www.googleapis.com/auth/admin.directory.orgunit.readonly%20https://www.googleapis.com/auth/admin.directory.userschema%20https://www.googleapis.com/auth/admin.directory.device.chromeos%20https://www.googleapis.com/auth/admin.directory.notifications%20https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly%20https://www.googleapis.com/auth/admin.directory.device.mobile%20https://www.googleapis.com/auth/admin.directory.group.readonly%20https://www.googleapis.com/auth/admin.directory.group.member.readonly%20https://www.googleapis.com/auth/admin.directory.userschema.readonly%20https://www.googleapis.com/auth/admin.directory.user.alias%20https://www.googleapis.com/auth/admin.directory.user.security%20https://www.googleapis.com/auth/admin.directory.device.mobile.readonly%20https://www.googleapis.com/auth/admin.directory.user%20https://www.googleapis.com/auth/admin.directory.user.readonly%20https://www.googleapis.com/auth/admin.directory.user.alias.readonly%20https://www.googleapis.com/auth/admin.directory.group%20https://www.googleapis.com/auth/apps.groups.settings
这台机器上没有浏览器,但如果我尝试在另一个机器上 运行 它,我会收到错误 400 - 无效请求。 原因很明显,因为它重定向到 localhost:50089 并且没有人在另一台机器上侦听该端口。 通过 developers.google.com 上的多个文档和示例,我找到了一种通过创建服务帐户并为其生成主键来绕过对话框的方法。
try {
GoogleCredential cr = GoogleCredential
.fromStream(new FileInputStream(keyFile))
.createScoped(SCOPES);
Directory directory = new Directory.Builder(httpTransport, jsonFactory, cr)
.setApplicationName(config.getProperty("google.application.name")).build();
} catch (IOException ex) {
LOG.error("Failed to establish access credentials : ", ex.getMessage());
}
它确实读取密钥并创建目录实例,但对它的任何请求都会导致 403 响应代码
{ "code" : 403, "errors" : [ { "domain" : "global", "message" : "Not Authorized to access this resource/api", "reason" : "forbidden"
} ], "message" : "Not Authorized to access this resource/api" }"
但是我已经把这个账号的所有权限都委托给了服务账号。不知道我还能做什么。 如果有人能帮我解决这个问题,我将不胜感激。
我找到了解决方案。问题是 Google 生成的 JSON 密钥没有设置服务帐户用户。您必须像这样手动执行此操作:
GoogleCredential cr = GoogleCredential
.fromStream(new FileInputStream(keyFile))
.createScoped(SCOPES);
GoogleCredential.Builder builder = new GoogleCredential.Builder()
.setTransport(httpTransport)
.setJsonFactory(jsonFactory)
.setServiceAccountScopes(SCOPES)
.setServiceAccountId(cr.getServiceAccountId())
.setServiceAccountPrivateKey(cr.getServiceAccountPrivateKey())
.setServiceAccountPrivateKeyId(cr.getServiceAccountPrivateKeyId())
.setTokenServerEncodedUrl(cr.getTokenServerEncodedUrl())
.setServiceAccountUser(user);
Directory directory = new Directory.Builder(
httpTransport, jsonFactory, builder.build())
.setApplicationName(config.getProperty("google.application.name")).build();