本教程详细介绍了如何使用PHP与Google API客户端库,通过服务账户(Service Account)和域级授权(Domain-Wide Delegation)来获取Google Workspace中特定用户所属的群组列表。文章涵盖了Google API项目配置、PHP客户端库的初始化、用户身份验证流程,以及核心的服务账户授权与用户模拟机制,并提供了完整的示例代码与注意事项,旨在帮助开发者解决在集成Google Admin SDK Directory API时遇到的权限问题。
在Google Workspace环境中,若要通过编程方式获取组织内用户的群组信息,通常需要具备管理员权限。直接使用用户的OAuth 2.0凭据通常无法完成此类域级管理操作。此时,Google的服务账户(Service Account)结合域级授权(Domain-Wide Delegation)成为最佳实践。通过这种方式,服务账户可以模拟(impersonate)域内的任何用户,执行该用户被授权的操作,甚至执行管理员级别的操作,前提是服务账户本身已被委派了相应的权限。
准备工作:
使用Composer安装Google API PHP客户端库:
立即学习“PHP免费学习笔记(深入)”;
composer require google/apiclient:^2.0
以下代码示例展示了如何结合用户OAuth认证和服务账户域级授权来获取当前登录用户的群组列表。
<?php
require_once 'vendor/autoload.php';
// -------------------------------------------------------------------------
// 步骤1: 初始化Google客户端并进行用户OAuth认证,以获取当前登录用户的基本信息
// -------------------------------------------------------------------------
// 创建Google客户端实例
$client = new Google_Client();
// 替换为您的Google Cloud项目凭据
$client->setClientId('YOUR_CLIENT_ID.apps.googleusercontent.com');
$client->setClientSecret('YOUR_CLIENT_SECRET');
// 替换为您的重定向URI,必须与Google Cloud控制台中配置的完全一致
$client->setRedirectUri('YOUR_REDIRECT_URI');
$client->setApplicationName('My Google Workspace App');
// 为用户OAuth认证添加必要的范围
// 这些范围将请求用户授权应用程序访问其电子邮件和个人资料
$client->addScope('https://www.googleapis.com/auth/userinfo.email');
$client->addScope('https://www.googleapis.com/auth/userinfo.profile');
// 检查是否存在授权码,表示用户已从Google认证服务器重定向回来
if (isset($_GET['code'])) {
try {
// 使用授权码获取访问令牌
$token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
// 检查是否存在错误
if (isset($token["error"])) {
echo "Error fetching access token: " . $token["error_description"];
exit();
}
// 设置客户端的访问令牌
$client->setAccessToken($token['access_token']);
// 使用OAuth2服务获取当前登录用户的基本信息
$google_oauth = new Google_Service_Oauth2($client);
$google_account_info = $google_oauth->userinfo->get();
$userEmail = $google_account_info->email;
echo "<h2>当前登录用户: " . htmlspecialchars($userEmail) . "</h2>";
// -------------------------------------------------------------------------
// 步骤2: 重新配置客户端以使用服务账户进行域级授权和用户模拟
// -------------------------------------------------------------------------
// 加载服务账户的JSON密钥文件
// 确保此文件路径正确,且文件安全存储
$client->setAuthConfig('path/to/your-service-account-key.json');
// 设置要模拟的用户邮箱。这里我们模拟当前登录的用户。
// 服务账户必须已通过域级授权,并被授予了对admin.directory.group.readonly范围的权限。
$client->setSubject($userEmail);
// 初始化Directory服务。此时,客户端将使用服务账户的凭据
// 并模拟由setSubject指定的用户来执行Admin SDK操作。
$adminService = new Google_Service_Directory($client);
// -------------------------------------------------------------------------
// 步骤3: 使用Directory服务获取模拟用户所属的群组列表
// -------------------------------------------------------------------------
$optParams = array(
'domain' => 'yourdomain.com', // 替换为您的Google Workspace域名
'userKey' => $userEmail // 指定要查询群组的用户邮箱
);
// 调用listGroups方法获取群组列表
$googleGroups = $adminService->groups->listGroups($optParams);
$groups = $googleGroups->getGroups();
if (!empty($groups)) {
echo "<h3>" . htmlspecialchars($userEmail) . " 所属群组:</h3>";
echo "<ul>";
foreach ($groups as $group) {
echo "<li>" . htmlspecialchars($group->getName()) . " (" . htmlspecialchars($group->getEmail()) . ")</li>";
}
echo "</ul>";
} else {
echo "<p>未找到 " . htmlspecialchars($userEmail) . " 所属的群组。</p>";
}
} catch (Google_Service_Exception $e) {
// 捕获Google API服务异常,通常是权限不足或配置错误
echo "<h3>获取群组时发生错误:</h3>";
echo "<p>错误代码: " . $e->getCode() . "</p>";
echo "<p>错误信息: " . $e->getMessage() . "</p>";
// 可以根据错误信息进一步调试,例如检查域级授权配置
} catch (Exception $e) {
// 捕获其他通用异常
echo "<h3>发生未知错误:</h3>";
echo "<p>" . $e->getMessage() . "</p>";
}
} else {
// 如果没有授权码,则生成授权URL并引导用户进行认证
$authUrl = $client->createAuthUrl();
echo "<p><a href='" . htmlspecialchars($authUrl) . "'>点击此处登录Google并查看您的群组</a></p>";
}
?>以上就是PHP集成Google API:通过服务账户与域级授权获取用户群组信息的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
835
收藏
