本教程详细介绍了如何使用php和google admin sdk通过服务账户(service account)和域范围授权(domain-wide delegation)来获取特定用户所属的google群组列表。文章涵盖了客户端配置、权限设置、oauth流程以及如何正确进行用户模拟,以解决常见的`unauthorized_client`错误,确保api调用的成功。
在Google Workspace环境中,通过编程方式管理用户和群组是常见的需求。本教程将指导您如何使用PHP客户端库和Google Admin SDK来列出特定用户所属的所有Google群组。我们将重点讲解如何正确配置服务账户和域范围授权,以克服常见的认证和授权问题。
在开始编写PHP代码之前,您需要完成以下准备工作:
composer require google/apiclient
本节将分步介绍如何在PHP中初始化Google客户端,并执行两阶段认证:首先通过OAuth2获取当前登录用户的基本信息,然后切换到服务账户模拟该用户来执行Admin SDK操作。
首先,我们需要让用户通过OAuth2登录,以获取他们的邮箱地址。这个邮箱地址稍后将用于服务账户模拟。
立即学习“PHP免费学习笔记(深入)”;
<?php
require 'vendor/autoload.php'; // 根据您的项目路径调整
// 创建新的Google客户端实例
$client = new Google_Client();
// 设置您的客户端ID、客户端密钥和重定向URL
// 这些信息从Google Cloud Console的OAuth 2.0客户端ID中获取
$client->setClientId('YOUR_CLIENT_ID.apps.googleusercontent.com');
$client->setClientSecret('YOUR_CLIENT_SECRET');
$client->setRedirectUri('YOUR_REDIRECT_URL'); // 必须与Google Cloud Console中配置的URL一致
$client->setApplicationName("My Google Group Lister");
// 添加获取用户邮箱和资料信息的OAuth范围
$client->addScope("https://www.googleapis.com/auth/userinfo.email");
$client->addScope("https://www.googleapis.com/auth/userinfo.profile");
// 处理OAuth回调
if (isset($_GET['code'])) {
$token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
if (!isset($token["error"])) {
$client->setAccessToken($token['access_token']);
// 获取用户基本信息
$google_oauth = new Google_Service_Oauth2($client);
$google_account_info = $google_oauth->userinfo->get();
$userEmail = $google_account_info->email; // 获取当前登录用户的邮箱
echo "当前登录用户邮箱: " . $userEmail . "<br>";
// ... 接下来将进行服务账户模拟操作
} else {
echo "OAuth认证失败: " . $token["error_description"];
}
} else {
// 如果没有code参数,则重定向到Google认证页面
$authUrl = $client->createAuthUrl();
header('Location: ' . filter_var($authUrl, FILTER_SANITIZE_URL));
exit();
}
?>在获取到用户邮箱后,我们将切换到使用服务账户进行认证,并模拟该用户来调用Admin SDK。这是获取群组列表的关键步骤。
<?php
// ... 承接上面的代码,在 $userEmail 变量获取之后 ...
// 配置服务账户认证
// 加载您的服务账户JSON密钥文件路径
$client->setAuthConfig('PATH_TO_YOUR_SERVICE_ACCOUNT_KEY.json');
// 指定要模拟的用户邮箱。
// 这个邮箱必须是Google Workspace域内的有效用户,
// 并且该服务账户已通过域范围授权获得了相应的权限。
$client->setSubject($userEmail); // 模拟当前登录的用户
// 添加Admin SDK所需的OAuth范围
// 注意:这个范围也必须在Google Workspace管理控制台的域范围授权中配置
$client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");
// ... 接下来将进行获取群组列表的操作
?>重要提示:
现在,我们已经正确配置了客户端并进行了认证,可以使用Google_Service_Directory服务来查询用户所属的群组。
<?php
// ... 承接上面的代码 ...
// 初始化Directory服务
$service = new Google_Service_Directory($client);
// 设置查询参数,列出指定用户所属的群组
$optParams = array(
'domain' => 'YOUR_DOMAIN.com', // 替换为您的Google Workspace域名
'userKey' => $userEmail // 使用要查询的用户邮箱
);
try {
// 调用Admin SDK的groups->listGroups方法
$googleGroups = $service->groups->listGroups($optParams);
$groups = $googleGroups->getGroups();
if (!empty($groups)) {
echo "<h3>用户 " . $userEmail . " 所属的群组:</h3>";
echo "<ul>";
foreach ($groups as $group) {
echo "<li>" . $group->getEmail() . " (" . $group->getName() . ")</li>";
}
echo "</ul>";
} else {
echo "用户 " . $userEmail . " 不属于任何群组。";
}
} catch (Google_Service_Exception $e) {
echo "获取群组时发生错误: " . $e->getMessage();
// 详细错误信息可能在 $e->getErrors() 中
}
// ...
?>将上述所有部分整合,形成一个完整的PHP脚本:
<?php
require 'vendor/autoload.php';
// 创建新的Google客户端实例
$client = new Google_Client();
// --- 第一阶段:用户OAuth2认证,获取用户基本信息 ---
// 设置您的客户端ID、客户端密钥和重定向URL
$client->setClientId('YOUR_CLIENT_ID.apps.googleusercontent.com');
$client->setClientSecret('YOUR_CLIENT_SECRET');
$client->setRedirectUri('YOUR_REDIRECT_URL');
$client->setApplicationName("My Google Group Lister");
// 添加获取用户邮箱和资料信息的OAuth范围
$client->addScope("https://www.googleapis.com/auth/userinfo.email");
$client->addScope("https://www.googleapis.com/auth/userinfo.profile");
$userEmail = null;
if (isset($_GET['code'])) {
$token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
if (!isset($token["error"])) {
$client->setAccessToken($token['access_token']);
// 获取用户基本信息
$google_oauth = new Google_Service_Oauth2($client);
$google_account_info = $google_oauth->userinfo->get();
$userEmail = $google_account_info->email; // 获取当前登录用户的邮箱
echo "当前登录用户邮箱: " . $userEmail . "<br>";
// --- 第二阶段:服务账户模拟用户,执行Admin SDK操作 ---
// 配置服务账户认证
// 加载您的服务账户JSON密钥文件路径
$client->setAuthConfig('PATH_TO_YOUR_SERVICE_ACCOUNT_KEY.json');
// 指定要模拟的用户邮箱
$client->setSubject($userEmail);
// 添加Admin SDK所需的OAuth范围
$client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");
// 初始化Directory服务
$service = new Google_Service_Directory($client);
// 设置查询参数,列出指定用户所属的群组
$optParams = array(
'domain' => 'YOUR_DOMAIN.com', // 替换为您的Google Workspace域名
'userKey' => $userEmail // 使用要查询的用户邮箱
);
try {
// 调用Admin SDK的groups->listGroups方法
$googleGroups = $service->groups->listGroups($optParams);
$groups = $googleGroups->getGroups();
if (!empty($groups)) {
echo "<h3>用户 " . $userEmail . " 所属的群组:</h3>";
echo "<ul>";
foreach ($groups as $group) {
echo "<li>" . $group->getEmail() . " (" . $group->getName() . ")</li>";
}
echo "</ul>";
} else {
echo "用户 " . $userEmail . " 不属于任何群组。";
}
} catch (Google_Service_Exception $e) {
echo "获取群组时发生错误: " . $e->getMessage() . "<br>";
echo "详细错误: " . print_r(json_decode($e->getMessage(), true), true);
}
} else {
echo "OAuth认证失败: " . $token["error_description"];
}
} else {
// 如果没有code参数,则重定向到Google认证页面
$authUrl = $client->createAuthUrl();
header('Location: ' . filter_var($authUrl, FILTER_SANITIZE_URL));
exit();
}
?>请务必将代码中的 YOUR_CLIENT_ID.apps.googleusercontent.com、YOUR_CLIENT_SECRET、YOUR_REDIRECT_URL、PATH_TO_YOUR_SERVICE_ACCOUNT_KEY.json 和 YOUR_DOMAIN.com 替换为您的实际值。
通过本教程,您应该已经掌握了如何使用PHP和Google Admin SDK,结合服务账户和域范围授权来获取特定用户所属的Google群组列表。关键在于正确配置Google Cloud项目、服务账户、域范围授权,并在PHP代码中分阶段进行认证:首先通过OAuth2获取用户身份,然后利用服务账户模拟该用户来执行Admin SDK操作。遵循这些步骤将有效避免常见的认证和授权问题,确保您的应用程序能够顺利与Google Workspace API交互。
以上就是PHP集成Google Admin SDK:通过服务账户列出用户所属群组的教程的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
773
收藏
