无权访问此 Resource/API (GCP)
Not Authorized To Access This Resource/API (GCP)
我设置了一个具有域范围委托的服务帐户,并通过客户端电子邮件、私钥、范围和用户电子邮件 JWT 方法来模拟 G-Suite 用户。然后我从管理员 API 获取特定的用户信息并使用它来创建电子邮件签名并将其推送到 Gmail API。如果我传递给 JWT 方法的用户电子邮件是超级管理员,它会很好用,但如果我尝试传递任何其他用户,我会收到错误响应,“未授权访问此 resource/api”。关于如何让它与我域中的普通用户帐户一起使用有什么想法吗?
这是代码。 (genSignature.js)
const { google } = require('googleapis');
const privatekey = require('../private-key.json');
const scopes = [
'https://www.googleapis.com/auth/gmail.settings.basic',
'https://www.googleapis.com/auth/gmail.settings.sharing',
'https://www.googleapis.com/auth/admin.directory.user',
'https://www.googleapis.com/auth/admin.directory.user.readonly'
];
const auth = async (user) => {
try {
const jwtClient = new google.auth.JWT(
privatekey.client_email,
null,
privatekey.private_key,
scopes,
user // User who will be impersonated using the JWT client.
);
await jwtClient.authorize();
return jwtClient;
} catch (err) {
console.log(err.message);
};
};
function genSig(e) {
auth(e).then((jwtClient) => {
// Authenticate with the gmail API.
const gmail = google.gmail({
version: 'v1',
auth: jwtClient
});
// Authenticate with the admin API.
const dir = google.admin({
version: 'directory_v1',
auth: jwtClient
});
// Get users contact and job data from the directory. This data will be used as variables in their email signature.
dir.users.get({ userKey: e }, (err, response) => {
if (err) {
console.log(err.message);
} else {
let phones = response.data.phones;
let workPhone = '';
if (phones) {
for (i = 0; i < phones.length; i++) {
if (phones[i].type == 'work') {
workPhone = phones[i].value;
};
};
};
function getUserData() {
let userData = {
name: response.data.name.fullName,
email: response.data.primaryEmail,
phone: workPhone,
avatar: response.data.thumbnailPhotoUrl,
department: response.data.organizations[0].department,
title: response.data.organizations[0].title
};
return userData;
};
let requestBody = {
signature: 'Test'
};
// Update the users email signature for their primary email.
gmail.users.settings.sendAs.update({ userId: e, sendAsEmail: e, requestBody }, (err, response) => {
if (err) {
console.log(err.message);
} else {
console.log(response.data);
};
});
};
});
});
}
module.exports = genSig;
(signatures.js)
const express = require('express');
const router = express.Router();
const genSig = require('../../functions/genSignature');
// Get webhooks from Google.
router.post('/', (req, res) => {
let email = req.body.email;
let emailStr = email.toString();
console.log(emailStr);
genSig(emailStr);
res.status(200).json({
"msg": "data recieved..."
});
});
module.exports = router;
(index.js)
const express = require('express');
const app = express();
app.use(express.json());
app.use('/email-signature', require('./routes/api/signatures'));
const PORT = process.env.PORT || 6000;
app.listen(PORT, () => console.log(`Server is running on port ${PORT}`));
这里是一些截图。
API configuration on G-Suite
Service Account Setup
Successful request vs unsuccessful request
您需要模拟管理员:
只有拥有用户管理权限的帐户(如超级管理员或用户管理管理员)才能访问 Users: get. You have to take into account that this is part of Admin SDK,这是由管理员帐户使用的。
如果您尝试通过 Try this API on the reference docs 调用它,您也可以检查这是不可能的(您会收到相同的消息:Not Authorized to access this resource/api)。
使用具有 domain-wide 权限的服务帐户并不重要:当服务帐户模拟另一个用户时,它只能访问该用户可以访问的资源.
解决方案:
在这种情况下,如果您想从 Admin SDK 检索用户数据,模拟帐户应该具有用户管理权限。
但是由于调用 Gmail API 方法不需要这些权限,因此您可以在调用 Users: get 时模拟管理员帐户,在调用 users.settings.sendAs.update 时模拟普通帐户。
参考:
这不是新的 post。但是,我面对它并找到了解决方案。
您可以通过分配角色来使用服务帐户。请参阅 Assign specific admin role. There are details in updates blog post.
中的“为服务帐户分配角色”
首先,您需要在 Google Workspace 管理控制台创建自定义管理员角色。您可以使用电子邮件地址将服务帐户分配给自定义管理员角色。
它在我的环境中的 Google Cloud Functions 上运行。
我设置了一个具有域范围委托的服务帐户,并通过客户端电子邮件、私钥、范围和用户电子邮件 JWT 方法来模拟 G-Suite 用户。然后我从管理员 API 获取特定的用户信息并使用它来创建电子邮件签名并将其推送到 Gmail API。如果我传递给 JWT 方法的用户电子邮件是超级管理员,它会很好用,但如果我尝试传递任何其他用户,我会收到错误响应,“未授权访问此 resource/api”。关于如何让它与我域中的普通用户帐户一起使用有什么想法吗?
这是代码。 (genSignature.js)
const { google } = require('googleapis');
const privatekey = require('../private-key.json');
const scopes = [
'https://www.googleapis.com/auth/gmail.settings.basic',
'https://www.googleapis.com/auth/gmail.settings.sharing',
'https://www.googleapis.com/auth/admin.directory.user',
'https://www.googleapis.com/auth/admin.directory.user.readonly'
];
const auth = async (user) => {
try {
const jwtClient = new google.auth.JWT(
privatekey.client_email,
null,
privatekey.private_key,
scopes,
user // User who will be impersonated using the JWT client.
);
await jwtClient.authorize();
return jwtClient;
} catch (err) {
console.log(err.message);
};
};
function genSig(e) {
auth(e).then((jwtClient) => {
// Authenticate with the gmail API.
const gmail = google.gmail({
version: 'v1',
auth: jwtClient
});
// Authenticate with the admin API.
const dir = google.admin({
version: 'directory_v1',
auth: jwtClient
});
// Get users contact and job data from the directory. This data will be used as variables in their email signature.
dir.users.get({ userKey: e }, (err, response) => {
if (err) {
console.log(err.message);
} else {
let phones = response.data.phones;
let workPhone = '';
if (phones) {
for (i = 0; i < phones.length; i++) {
if (phones[i].type == 'work') {
workPhone = phones[i].value;
};
};
};
function getUserData() {
let userData = {
name: response.data.name.fullName,
email: response.data.primaryEmail,
phone: workPhone,
avatar: response.data.thumbnailPhotoUrl,
department: response.data.organizations[0].department,
title: response.data.organizations[0].title
};
return userData;
};
let requestBody = {
signature: 'Test'
};
// Update the users email signature for their primary email.
gmail.users.settings.sendAs.update({ userId: e, sendAsEmail: e, requestBody }, (err, response) => {
if (err) {
console.log(err.message);
} else {
console.log(response.data);
};
});
};
});
});
}
module.exports = genSig;
(signatures.js)
const express = require('express');
const router = express.Router();
const genSig = require('../../functions/genSignature');
// Get webhooks from Google.
router.post('/', (req, res) => {
let email = req.body.email;
let emailStr = email.toString();
console.log(emailStr);
genSig(emailStr);
res.status(200).json({
"msg": "data recieved..."
});
});
module.exports = router;
(index.js)
const express = require('express');
const app = express();
app.use(express.json());
app.use('/email-signature', require('./routes/api/signatures'));
const PORT = process.env.PORT || 6000;
app.listen(PORT, () => console.log(`Server is running on port ${PORT}`));
这里是一些截图。
API configuration on G-Suite
Service Account Setup
Successful request vs unsuccessful request
您需要模拟管理员:
只有拥有用户管理权限的帐户(如超级管理员或用户管理管理员)才能访问 Users: get. You have to take into account that this is part of Admin SDK,这是由管理员帐户使用的。
如果您尝试通过 Try this API on the reference docs 调用它,您也可以检查这是不可能的(您会收到相同的消息:Not Authorized to access this resource/api)。
使用具有 domain-wide 权限的服务帐户并不重要:当服务帐户模拟另一个用户时,它只能访问该用户可以访问的资源.
解决方案:
在这种情况下,如果您想从 Admin SDK 检索用户数据,模拟帐户应该具有用户管理权限。
但是由于调用 Gmail API 方法不需要这些权限,因此您可以在调用 Users: get 时模拟管理员帐户,在调用 users.settings.sendAs.update 时模拟普通帐户。
参考:
这不是新的 post。但是,我面对它并找到了解决方案。
您可以通过分配角色来使用服务帐户。请参阅 Assign specific admin role. There are details in updates blog post.
中的“为服务帐户分配角色”首先,您需要在 Google Workspace 管理控制台创建自定义管理员角色。您可以使用电子邮件地址将服务帐户分配给自定义管理员角色。
它在我的环境中的 Google Cloud Functions 上运行。