本教程详细介绍了如何使用PHP和Google Admin SDK(Directory API)来获取Google Workspace用户所属的群组列表。文章聚焦于解决常见的“unauthorized_client”授权错误,并通过配置服务账号的域范围授权(Domain-Wide Delegation)、正确设置API Scope以及模拟域管理员身份(setSubject)来确保API调用的成功。通过清晰的步骤和代码示例,帮助开发者实现用户群组信息的程序化管理。
引言:使用PHP和Google Admin SDK管理用户群组
在Google Workspace环境中,管理员经常需要程序化地管理用户、群组、设备等资源。Google Admin SDK提供了一系列API,允许开发者通过代码实现这些管理功能。本教程将专注于如何利用PHP客户端库,结合Admin SDK的Directory API,来获取特定用户所属的群组列表。我们将特别关注在实现过程中可能遇到的授权问题,并提供一套完整的解决方案。
核心概念与前置条件
在开始编码之前,理解以下核心概念和完成必要的准备工作至关重要:
Google Workspace Domain-Wide Delegation (DWD): DWD是Google Cloud平台的一项特性,允许服务账号(Service Account)代表Google Workspace域中的任何用户执行操作。这意味着,即使您的应用程序不是由特定用户直接授权的,它也可以在获得DWD授权后,以该用户的身份或管理员身份执行操作。这是访问Admin SDK的关键。
服务账号(Service Account): 服务账号是一种特殊的Google账号,用于服务器到服务器的交互,无需最终用户参与。它通过JSON密钥文件进行认证。
Admin SDK Directory API: 这是Google Admin SDK的一部分,提供了管理用户、群组、组织单元等资源的接口。我们将使用其groups服务来查询群组信息。
-
所需权限(Scopes): API调用需要相应的授权范围(Scopes)。对于获取用户群组列表,至少需要以下Scope:
-
准备工作:
立即学习“PHP免费学习笔记(深入)”;
- 启用Admin SDK API:在您的Google Cloud项目中,确保已启用Admin SDK API。
-
创建服务账号与密钥:
- 访问Google Cloud Console。
- 导航到“IAM & 管理” > “服务账号”。
- 创建一个新的服务账号。
- 为该服务账号生成一个新的JSON密钥,并下载到您的项目目录中。
-
配置服务账号的DWD:
- 在Google Cloud Console的服务账号详情页,找到服务账号的唯一客户端ID。
- 登录Google Workspace管理员控制台(admin.google.com)。
- 导航到“安全性” > “API 控件” > “域范围委派”。
- 添加新的API客户端,输入服务账号的客户端ID,并授权上述所需的API Scope(特别是 https://www.googleapis.com/auth/admin.directory.group.readonly)。
-
Composer安装Google API客户端库:
在您的PHP项目中,通过Composer安装Google API客户端库:
composer require google/apiclient:^2.0
PHP代码实现:获取用户群组列表
以下是实现获取用户群组列表的PHP代码示例,它结合了用户OAuth认证获取用户邮箱和通过服务账号进行Admin SDK调用的策略。
步骤一:用户认证与信息获取
首先,我们需要通过标准的OAuth 2.0流程让用户登录,并获取其邮箱地址。这个邮箱将用于后续查询该用户所属的群组。
setClientId('YOUR_CLIENT_ID.apps.googleusercontent.com'); // 替换为您的客户端ID
$client->setClientSecret('YOUR_CLIENT_SECRET'); // 替换为您的客户端密钥
$client->setRedirectUri('YOUR_REDIRECT_URL'); // 替换为您的重定向URL
$client->setApplicationName("Your Application Name"); // 替换为您的应用名称
// 添加获取用户邮箱和个人资料信息的Scope
$client->addScope("https://www.googleapis.com/auth/userinfo.email");
$client->addScope("https://www.googleapis.com/auth/userinfo.profile");
// 仅为Admin SDK操作添加的Scope,这里先不添加,后面服务账号认证时再添加
// $client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");
$userEmail = '';
// 处理OAuth回调
if (isset($_GET['code'])) {
$token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
if (!isset($token["error"])) {
$client->setAccessToken($token['access_token']);
// 获取用户个人资料信息
$google_oauth = new Google_Service_Oauth2($client);
$google_account_info = $google_oauth->userinfo->get();
$userEmail = $google_account_info->email;
echo "当前登录用户邮箱: " . $userEmail . "
";
} else {
echo "OAuth认证失败: " . $token["error_description"] . "
";
}
} else {
// 如果没有认证码,则重定向到Google认证页面
$authUrl = $client->createAuthUrl();
echo "点击此处登录Google";
exit;
}
// ... 接下来是服务账号授权和群组查询
?>步骤二:服务账号授权与群组查询
在获取到用户邮箱后,我们将切换到服务账号的认证模式,并利用域范围授权来查询该用户所属的群组。
setAuthConfig('path/to/your/service-account-key.json'); // 替换为您的JSON密钥文件路径
// 设置要模拟的管理员邮箱。此邮箱必须是Google Workspace域内的管理员账号,
// 并且具有读取群组的权限。这是DWD的关键一步。
$client->setSubject('admin-user@yourdomain.com'); // 替换为您的域管理员邮箱
// 添加Admin SDK Directory API的只读Scope
// 注意:这个Scope必须在Google Workspace管理员控制台的DWD中授权给服务账号
$client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");
try {
// 实例化Google Directory服务
$service = new Google_Service_Directory($client);
// 配置查询参数:指定域和要查询的用户邮箱
$optParams = array(
'domain' => 'yourdomain.com', // 替换为您的Google Workspace域名
'userKey' => $userEmail // 查询此用户所属的群组
);
// 调用listGroups方法获取群组列表
$googleGroups = $service->groups->listGroups($optParams);
$groups = $googleGroups->getGroups();
if (!empty($groups)) {
echo "用户 " . $userEmail . " 所属群组列表:
";
echo "- ";
foreach ($groups as $group) {
echo "
- " . $group->getName() . " (" . $group->getEmail() . ") "; } echo "
"; } } catch (Google_Service_Exception $e) { echo "获取群组时发生错误: " . $e->getMessage() . "
"; // 详细错误信息可能在 $e->getErrors() 中 } catch (Exception $e) { echo "未知错误: " . $e->getMessage() . "
"; } } else { echo "无法获取用户邮箱,请先完成OAuth认证。
"; } ?>
完整示例代码
将上述两个步骤的代码整合,形成一个完整的PHP脚本:
setApplicationName($appName);
$userEmail = '';
// --- 步骤一:用户认证与信息获取 ---
// 用于获取当前登录用户的邮箱,以便后续查询其群组
$client->setClientId($clientId);
$client->setClientSecret($clientSecret);
$client->setRedirectUri($redirectUri);
$client->addScope("https://www.googleapis.com/auth/userinfo.email");
$client->addScope("https://www.googleapis.com/auth/userinfo.profile");
if (isset($_GET['code'])) {
$token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
if (!isset($token["error"])) {
$client->setAccessToken($token['access_access_token']);
$google_oauth = new Google_Service_Oauth2($client);
$google_account_info = $google_oauth->userinfo->get();
$userEmail = $google_account_info->email;
echo "当前登录用户邮箱: " . htmlspecialchars($userEmail) . "
";
// --- 步骤二:服务账号授权与群组查询 ---
// 重新配置客户端,使用服务账号进行认证,以执行Admin SDK操作
$client->setAuthConfig($serviceAccountKeyPath);
$client->setSubject($adminImpersonationEmail); // 模拟域管理员
// 确保服务账号已通过DWD授权此Scope
$client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");
try {
$service = new Google_Service_Directory($client);
$optParams = array(
'domain' => $googleWorkspaceDomain,
'userKey' => $userEmail
);
$googleGroups = $service->groups->listGroups($optParams);
$groups = $googleGroups->getGroups();
if (!empty($groups)) {
echo "用户 " . htmlspecialchars($userEmail) . " 所属群组列表:
";
echo "- ";
foreach ($groups as $group) {
echo "
- " . htmlspecialchars($group->getName()) . " (" . htmlspecialchars($group->getEmail()) . ") "; } echo "
"; } } catch (Google_Service_Exception $e) { echo "获取群组时发生API错误: " . htmlspecialchars($e->getMessage()) . "
"; // 更多错误信息: print_r($e->getErrors()); } catch (Exception $e) { echo "发生未知错误: " . htmlspecialchars($e->getMessage()) . "
"; } } else { echo "OAuth认证失败: " . htmlspecialchars($token["error_description"]) . "
"; } } else { // 如果没有认证码,则生成认证URL并重定向 $authUrl = $client->createAuthUrl(); echo ""; } ?>
注意事项与常见问题解决
-
unauthorized_client 错误解析: 这个错误通常表示您的客户端没有足够的权限执行请求的操作。针对本教程的场景,最常见的原因是:
- 服务账号未配置DWD:确保服务账号的客户端ID已在Google Workspace管理员控制台的“域范围委派”中添加,并授权了所有必要的Scope(特别是 https://www.googleapis.com/auth/admin.directory.group.readonly)。
- setSubject 邮箱不正确或无权限:setSubject 中指定的邮箱必须是您的Google Workspace域内的管理员账号,并且该管理员账号本身拥有读取群组的权限。如果模拟的用户没有权限,即使服务账号有DWD,操作也会失败。
- JSON密钥文件路径错误或文件损坏:确保 setAuthConfig() 指向正确的服务账号JSON密钥文件。
- Scope缺失或不匹配:确保 addScope() 中添加的Scope与DWD中授权给服务账号的Scope完全一致。
setSubject 的作用: $client->setSubject('admin-user@yourdomain.com'); 这一行是DWD的核心。它告诉Google API客户端,服务账号将代表 admin-user@yourdomain.com 这个用户执行后续操作。因此,admin-user@yourdomain.com 必须是一个实际存在的、具有相应权限的域内管理员账号。
-
Scope的正确使用:
- 用于用户OAuth认证的Scope(如 userinfo.email)与用于服务账号DWD的Admin SDK Scope(如 admin.directory.group.readonly)是不同的。确保在相应阶段添加正确的Scope。
- 请记住,即使代码中添加了Scope,最终的权限仍然受限于Google Workspace管理员控制台中为服务账号配置的DWD。
JSON密钥文件的安全性: 服务账号的JSON密钥文件包含敏感凭据,应像对待密码一样妥善保管。不要将其上传到公共代码仓库,并确保服务器上的文件权限设置正确,仅限应用程序访问。
API速率限制: Google API对请求有速率限制。在进行大量查询时,请注意处理API响应中的错误(如429 Too Many Requests),并实现适当的重试机制和退避策略。
总结
通过本教程,我们学习了如何利用PHP和Google Admin SDK(Directory API)来获取Google Workspace用户的群组列表。成功的关键在于正确配置服务账号的域范围授权,确保所需的API Scope已在Google Workspace管理员控制台授权,并在代码中通过 setAuthConfig() 加载服务账号密钥并通过 setSubject() 模拟具有相应权限的域管理员。遵循这些步骤,可以有效解决常见的授权问题,实现对Google Workspace资源的程序化管理。
