Google Drive API：利用服务账号安全获取与管理访问令牌-js教程-PHP中文网

google drive api：利用服务账号安全获取与管理访问令牌

本文旨在解决在无用户交互场景下，通过Google Drive API获取文件时遇到的认证问题。我们将深入探讨为何传统的OAuth 2.0刷新令牌机制在此类场景下受限，并详细介绍如何利用Google服务账号（Service Account）作为一种更安全、更高效的替代方案，实现应用程序级别的认证与Google Drive数据访问，并提供相应的实现指导和注意事项。

Google Drive API认证机制概述

在与Google Drive API交互时，认证是首要且关键的一步。Google提供了多种认证方式，以适应不同的应用场景。

OAuth 2.0 用户授权流

OAuth 2.0是Google API最常见的认证协议，它允许用户授权第三方应用程序访问其Google账户中的特定数据，而无需共享其账户凭据。此流程通常涉及用户在浏览器中进行登录和授权，应用程序会获得一个临时的access_token和一个长期的refresh_token。refresh_token用于在access_token过期后，无需用户再次交互即可获取新的access_token。

然而，在某些服务器端或自动化场景中，例如从网站后端定时抓取Google Drive上的照片，直接的用户交互是不切实际的。虽然refresh_token旨在解决部分问题，但它仍然绑定到特定用户，且在没有前端授权流程的情况下，获取初始refresh_token本身就是个挑战。当出现“Failed to fetch photos from Google Drive”这类错误，即使提供了clientId、clientSecret和refreshToken，也可能意味着认证流程或权限配置存在根本性问题，或者该场景更适合其他认证方式。

服务账号（Service Account）认证

服务账号是一种特殊的Google账号，代表的是应用程序而非最终用户。它允许应用程序在无需用户直接授权的情况下，以自己的身份调用Google API。服务账号非常适合服务器间（server-to-server）的交互，例如后端服务、自动化脚本或需要访问特定Google Drive文件夹内容的网站后台。

为什么选择服务账号？

无需用户交互： 应用程序可以直接认证，无需用户登录或授权页面。
持久性： 服务账号的权限是独立的，不受特定用户会话的影响。
安全性： 凭据（私钥）可以安全地存储在服务器端，不会暴露给客户端。
精细权限控制： 可以精确控制服务账号对Google Drive资源的访问权限。

对于在Wix等平台构建的网站，如果需要从Google Drive实时获取照片，且这些照片通常存储在网站管理员的Google Drive中，或者是一个公共/共享的Drive文件夹中，那么使用服务账号进行认证是更推荐且更安全的方案。

Skybox AI

一键将涂鸦转为360°无缝环境贴图的AI神器

140

查看详情

配置Google服务账号

要使用服务账号访问Google Drive API，需要完成以下配置步骤：

创建Google Cloud项目：
- 访问 Google Cloud Console。
- 创建一个新项目或选择一个现有项目。
启用Google Drive API：
- 在Google Cloud Console中，导航到“API和服务” > “库”。
- 搜索“Google Drive API”并启用它。
创建服务账号：
- 导航到“IAM和管理” > “服务账号”。
- 点击“创建服务账号”，填写服务账号名称、ID和描述。
- 在“授予此服务账号对项目的访问权限”步骤中，可以选择授予适当的角色，例如“项目” > “查看者”或更具体的角色。对于Google Drive，通常需要通过共享文件/文件夹来授予权限。
- 在“授予用户访问此服务账号的权限”步骤中，可以跳过或根据需要配置。
生成服务账号密钥：
- 创建服务账号后，点击进入该服务账号的详情页面。
- 导航到“密钥”选项卡，点击“添加密钥” > “创建新密钥”。
- 选择“JSON”作为密钥类型，然后点击“创建”。一个包含私钥和其他凭据的JSON文件将被下载到您的计算机。请妥善保管此文件，切勿将其暴露在公共环境中。
授予服务账号对Google Drive的访问权限：
- 服务账号创建后，它会有一个电子邮件地址（例如 your-service-account-name@your-project-id.iam.gserviceaccount.com）。
- 在Google Drive中，找到您希望服务账号访问的文件或文件夹。
- 右键点击该文件或文件夹，选择“共享”。
- 将服务账号的电子邮件地址添加为共享对象，并授予其适当的权限（例如“查看者”或“编辑者”）。

使用服务账号获取访问令牌

通过服务账号获取访问令牌通常涉及JSON Web Token (JWT) 断言流程。您需要使用下载的JSON密钥文件中的信息（private_key和client_email）来构造并签署JWT，然后将其发送到Google的OAuth 2.0令牌端点以换取access_token。

以下是一个概念性的代码示例，展示了如何在后端环境中使用服务账号凭据获取访问令牌。请注意，Wix Velo支持后端模块，您应该在这些模块中实现此逻辑，以确保密钥的安全性。

// 假设这是在Wix Velo后端模块中实现
// 实际应用中，私钥和客户端邮箱应从环境变量或Wix Secrets Manager中安全获取
// 避免直接硬编码在代码中。

import { fetch } from 'wix-fetch';
import jwt from 'jsonwebtoken'; // 需要安装一个JWT库，例如 'jsonwebtoken'

// 您的服务账号密钥信息（从下载的JSON文件中提取）
// 请务必通过Wix Secrets Manager等安全方式管理这些凭据
const SERVICE_ACCOUNT_EMAIL = 'your-service-account-name@your-project-id.iam.gserviceaccount.com';
const PRIVATE_KEY = `-----BEGIN PRIVATE KEY-----
YOUR_PRIVATE_KEY_CONTENT_HERE
-----END PRIVATE KEY-----`; // 包含换行符的完整私钥字符串

const GOOGLE_TOKEN_ENDPOINT = 'https://oauth2.googleapis.com/token';
const GOOGLE_DRIVE_SCOPE = 'https://www.googleapis.com/auth/drive.readonly'; // 或其他所需权限

let cachedAccessToken = null;
let tokenExpirationTime = 0;

/**
 * 使用服务账号获取Google API访问令牌。
 * @returns {Promise<string>} 访问令牌。
 */
export async function getServiceAccountAccessToken() {
  const now = Date.now();
  // 检查缓存令牌是否仍然有效（提前1分钟刷新）
  if (cachedAccessToken && tokenExpirationTime > now + 60 * 1000) {
    return cachedAccessToken;
  }

  try {
    const jwtPayload = {
      iss: SERVICE_ACCOUNT_EMAIL,
      scope: GOOGLE_DRIVE_SCOPE,
      aud: GOOGLE_TOKEN_ENDPOINT,
      exp: Math.floor(now / 1000) + 3600, // 令牌有效期1小时
      iat: Math.floor(now / 1000)
    };

    const signedJwt = jwt.sign(jwtPayload, PRIVATE_KEY, { algorithm: 'RS256' });

    const response = await fetch(GOOGLE_TOKEN_ENDPOINT, {
      method: 'POST',
      headers: {
        'Content-Type': 'application/x-www-form-urlencoded'
      },
      body: `grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=${signedJwt}`
    });

    if (!response.ok) {
      const errorData = await response.json();
      throw new Error(`Failed to get service account access token: ${response.status} - ${JSON.stringify(errorData)}`);
    }

    const tokenData = await response.json();
    cachedAccessToken = tokenData.access_token;
    tokenExpirationTime = now + (tokenData.expires_in * 1000); // expires_in 是秒数

    return cachedAccessToken;

  } catch (error) {
    console.error('Error getting service account access token:', error);
    throw error;
  }
}

// 注意：在Wix Velo中，'jsonwebtoken'库可能需要通过npm安装到您的项目依赖中。
// 如果在Wix Velo环境中使用，可能需要寻找Velo兼容的JWT签名方式，
// 或者将此逻辑封装在外部云函数（如Google Cloud Functions）中，然后由Wix Velo调用。

登录后复制

通过访问令牌访问Google Drive文件

一旦您成功获取了服务账号的访问令牌，就可以将其用于Google Drive API请求，以获取所需的文件信息。

// 假设这是在Wix Velo后端或前端模块中
import { fetch } from 'wix-fetch';
import { getServiceAccountAccessToken } from 'backend/googleAuth'; // 假设getServiceAccountAccessToken在后端模块

/**
 * 从Google Drive获取照片文件列表。
 * @returns {Promise<Array>} 照片文件数组。
 */
export async function fetchPhotosFromGoogleDrive() {
  const apiUrl = 'https://www.googleapis.com/drive/v3/files';
  const fields = 'files(id,name,mimeType,thumbnailLink)'; 

  try {
    const accessToken = await getServiceAccountAccessToken(); // 获取服务账号访问令牌

    const response = await fetch(`${apiUrl}?q='YOUR_FOLDER_ID_OR_QUERY_HERE' and mimeType contains 'image/'&fields=${fields}`, {
      method: 'GET',
      headers: {
        'Authorization': `Bearer ${accessToken}`
      }
    });
    const data = await response.json();

    if (!response.ok) {
      throw new Error(`Failed to fetch photos from Google Drive: ${response.status} - ${JSON.stringify(data)}`);
    }

    if (!data.files) {
      throw new Error('No photo data found.');
    }

    // 过滤出图片文件（如果API查询没有完全做到）
    const imageFiles = data.files.filter(file => file.mimeType.startsWith('image/'));
    return imageFiles;

  } catch (error) {
    console.error('Error fetching photos from Google Drive:', error);
    throw error;
  }
}

// 示例：如何调用并显示照片（假设在Wix Velo前端页面）
/*
import { fetchPhotosFromGoogleDrive } from 'backend/googleDrive'; // 从后端模块导入

$w.onReady(function () {
  displayPhotos();
});

async function displayPhotos() {
  const myGallery = $w('#myGallery'); // 假设您有一个Wix画廊组件

  try {
    const photos = await fetchPhotosFromGoogleDrive();

    const galleryItems = photos.map(photo => ({
      type: 'image',
      src: photo.thumbnailLink, // Google Drive提供的缩略图链接
      title: photo.name,
    }));

    myGallery.items = galleryItems;
  } catch (error) {
    console.error('Error fetching and displaying photos:', error);
    // 可以在UI上显示错误消息
  }
}
*/

登录后复制

重要提示：

在apiUrl的查询参数中，q='YOUR_FOLDER_ID_OR_QUERY_HERE' 是非常重要的。您需要指定要从中获取照片的特定文件夹ID，或者编写一个更复杂的查询来筛选文件。例如，'root' in parents 表示在My Drive根目录中查找。
thumbnailLink通常只在请求中包含fields=files(thumbnailLink)时返回，并且它是一个临时的、签名的URL。

注意事项与最佳实践

密钥安全管理： 服务账号的JSON密钥文件包含敏感信息。绝不能将其直接暴露在客户端代码中或公共仓库中。 在Wix Velo环境中，应使用 Wix Secrets Manager 来存储PRIVATE_KEY和SERVICE_ACCOUNT_EMAIL，并在后端模块中安全地访问它们。
权限最小化原则： 仅授予服务账号所需的最小权限。如果只需要读取文件，就授予“查看者”权限；如果需要修改，则授予“编辑者”权限。
令牌缓存与刷新： 访问令牌通常只有一小时的有效期。如示例所示，实现一个简单的缓存机制，在令牌过期前（或即将过期时）刷新它，可以减少不必要的认证请求。
错误处理： 对API请求和认证流程中的错误进行健壮的处理，提供有意义的日志和用户反馈。
Wix Velo后端集成： 强烈建议将所有涉及服务账号认证和敏感API调用的逻辑放在Wix Velo的后端模块中。前端页面通过 wix-fetch 调用后端函数来获取数据，而不是直接在前端进行认证。
Google Drive文件共享： 确保服务账号的电子邮件地址已被正确地添加到Google Drive中相关文件或文件夹的共享列表中，并具有足够的权限。

总结

对于需要在没有用户交互的情况下访问Google Drive数据的应用程序，使用Google服务账号是比传统的OAuth 2.0刷新令牌机制更安全、更合适的解决方案。通过正确配置服务账号、安全管理其凭据并在后端模块中实现认证和数据获取逻辑，可以构建一个稳定且安全的Google Drive集成方案。务必遵循安全最佳实践，尤其是对服务账号密钥的保护，以防止潜在的安全漏洞。

以上就是Google Drive API：利用服务账号安全获取与管理访问令牌的详细内容，更多请关注php中文网其它相关文章！