Python调用Google Apps Script实现无感认证自动化教程

在构建基于Python与Google服务（特别是Google Apps Script）的自动化解决方案时，开发者常会遇到一个挑战：每次运行脚本时，系统都要求用户进行浏览器认证。这对于需要端到端自动化、无人值守执行的场景来说，是一个巨大的障碍。本教程将详细阐述如何通过妥善管理OAuth 2.0认证凭据，实现Python脚本对Google Apps Script的无感（非交互式）调用。

理解重复认证的根源

Python通过Google API客户端库与Google服务交互时，通常采用OAuth 2.0协议进行身份验证和授权。首次运行时，google_auth_oauthlib库会引导用户在浏览器中完成授权流程，生成一个访问令牌（Access Token）和一个刷新令牌（Refresh Token）。访问令牌具有较短的有效期（通常为1小时），过期后需要重新获取。如果每次脚本运行时都重新执行完整的OAuth 2.0认证流程，就会导致重复的浏览器认证弹窗，从而阻碍自动化。

要实现无感认证，核心在于持久化存储首次认证后获得的凭据，并在访问令牌过期时，利用刷新令牌自动获取新的访问令牌，而无需用户再次手动干预。

核心解决方案：持久化认证令牌

解决重复认证问题的关键在于使用一个token.json文件来持久化存储用户的OAuth 2.0凭据。这个文件会保存访问令牌、刷新令牌、令牌类型以及过期时间等信息。当脚本再次运行时：

立即学习“Python免费学习笔记（深入）”；

灵感PPT

AI灵感PPT - 免费一键PPT生成工具

32

查看详情

1. 它会首先检查token.json文件是否存在并尝试从中加载凭据。
2. 如果凭据存在且有效，则直接使用。
3. 如果凭据已过期但包含有效的刷新令牌，脚本将自动使用刷新令牌向Google授权服务器请求新的访问令牌。
4. 如果token.json不存在或凭据无效且无法刷新，脚本才会启动完整的OAuth 2.0认证流程，引导用户在浏览器中完成授权，并将新获得的凭据保存到token.json中，以供后续使用。

通过这种机制，只有在首次运行或刷新令牌失效（例如用户撤销了授权）时才需要手动认证，极大地方便了自动化部署。

实现步骤与代码示例

前提准备

在编写Python代码之前，请确保完成以下准备工作：

1. Google Cloud Project设置：
   • 在Google Cloud Console中创建一个新的项目或使用现有项目。
   • 启用以下API：Google Drive API、Google Sheets API、Google Apps Script API。
2. OAuth 2.0客户端ID：
   • 在Google Cloud Console中，导航到“API和服务” -> “凭据”。
   • 创建一个“OAuth客户端ID”，应用类型选择“桌面应用”。
   • 下载生成的credentials.json文件，并将其放置在Python脚本的同一目录下。
3. Google Apps Script部署：
   • 在Google Apps Script项目中，编写你想要通过Python调用的函数（例如helloWorld）。
   • 部署Apps Script项目为“API可执行文件”（Deploy -> New deployment -> Select type: API Executable）。
   • 记录下部署后获得的“Script ID”。
4. 安装Python库：
   • 使用pip安装所需的Google API客户端库：

     pip install google-api-python-client google-auth-oauthlib google-auth-httplib2

     登录后复制

Python代码实现

以下是实现持久化认证并调用Google Apps Script的Python代码示例：

import os.path
from google.auth.transport.requests import Request
from google.oauth2.credentials import Credentials
from google_auth_oauthlib.flow import InstalledAppFlow
from googleapiclient import errors
from googleapiclient.discovery import build

# 定义所需的API权限范围
# 请根据你的Apps Script实际操作，选择最小化的权限集。
# 过多的权限会增加安全风险，并可能导致用户在认证时犹豫。
SCOPES = [
    "https://www.googleapis.com/auth/script.projects",
    "https://www.googleapis.com/auth/script.external_request",
    "https://www.googleapis.com/auth/drive.readonly",
    "https://www.googleapis.com/auth/drive",
    "https://www.googleapis.com/auth/drive.scripts",
    "https://www.googleapis.com/auth/script.processes",
    "https://www.googleapis.com/auth/spreadsheets",
    "https://www.googleapis.com/auth/script.scriptapp",
]

def run_apps_script_with_persistent_auth(script_id: str, function_name: str):
    """
    使用持久化认证调用Google Apps Script API。
    在首次运行时会进行浏览器认证并生成token.json，后续运行将自动加载和刷新令牌。

    Args:
        script_id (str): 要执行的Google Apps Script项目的ID。
        function_name (str): Apps Script中要调用的函数名称。
    """
    creds = None
    # 1. 尝试从token.json加载已存储的凭据
    if os.path.exists("token.json"):
        creds = Credentials.from_authorized_user_file("token.json", SCOPES)

    # 2. 如果没有有效凭据，或者凭据已过期且可刷新，则进行认证或刷新
    if not creds or not creds.valid:
        if creds and creds.expired and creds.refresh_token:
            # 凭据过期但有刷新令牌，尝试刷新
            print("凭据已过期，尝试使用刷新令牌更新...")
            creds.refresh(Request())
        else:
            # 没有有效凭据或无法刷新，启动新的认证流程
            print("首次运行或刷新令牌失效，启动新的认证流程...")
            flow = InstalledAppFlow.from_client_secrets_file(
                "credentials.json", SCOPES
            )
            creds = flow.run_local_server(port=0) # 在本地启动Web服务器进行认证

        # 3. 将新的或刷新的凭据保存到token.json，以便后续使用
        with open("token.json", "w") as token:
            token.write(creds.to_json())
        print("凭据已保存/更新到 token.json。")

    try:
        # 4. 使用获取到的凭据构建Apps Script服务客户端
        service = build("script", "v1", credentials=creds)

        # 5. 构建执行请求
        request = {"function": function_name}

        # 6. 执行Apps Script函数
        print(f"正在执行Apps Script函数: {function_name} (Script ID: {script_id})...")
        response = service.scripts().run(body=request, scriptId=script_id).execute()
        print("Apps Script函数执行成功。")

        # 可以根据需要处理Apps Script函数的返回值
        if 'error' in response:
            print(f"Apps Script执行错误: {response['error']}")
        else:
            print(f"Apps Script函数返回值: {response.get('response', {}).get('result')}")

    except errors.HttpError as error:
        # 捕获API调用错误
        print(f"调用Apps Script API时发生错误: {error.content}")
    except Exception as e:
        print(f"发生未知错误: {e}")

# 示例用法
if __name__ == "__main__":
    # 替换为你的实际Google Apps Script项目ID和要调用的函数名
    my_script_id = "你的Google Apps Script项目ID" # 例如: AKfycbxtDnDYa2mTZKB6WoqK_D9PDsLZyqb7GQAh7pvER-K-rMFXYNa6oVOhzXHsyfyl8vLz
    my_function_name = "helloWorld" # Apps Script中的函数名

    run_apps_script_with_persistent_auth(my_script_id, my_function_name)

代码解释

• SCOPES: 定义了Python脚本访问Google API所需的权限范围。务必根据Apps Script的实际操作需求，选择最小化的权限集。例如，如果Apps Script只操作Google表格，那么https://www.googleapis.com/auth/spreadsheets就足够了，无需请求https://www.googleapis.com/auth/drive等更广泛的权限。
• os.path.exists("token.json"): 检查当前目录下是否存在token.json文件。
• Credentials.from_authorized_user_file("token.json", SCOPES): 如果token.json存在，则尝试从中加载之前保存的凭据。
• creds.expired and creds.refresh_token: 判断加载的凭据是否已过期，并且是否包含可用于刷新的令牌。
• creds.refresh(Request()): 这是实现无感自动化的关键。它使用存储的刷新令牌向Google授权服务器请求新的访问令牌，整个过程无需用户干预。
• InstalledAppFlow.from_client_secrets_file("credentials.json", SCOPES): 如果没有可用的凭据或刷新令牌失效，此行代码会根据credentials.json启动新的OAuth 2.0认证流程。
• flow.run_local_server(port=0): 在本地机器上启动一个临时Web服务器，用于接收Google授权服务器的回调，完成认证过程。用户需要在浏览器中进行一次手动授权。
• with open("token.json", "w") as token: token.write(creds.to_json()): 无论凭据是新获取的还是刷新的，都会将其序列化为JSON格式并保存到token.json文件中，以备下次使用。
• build("script", "v1", credentials=creds): 使用获取到的有效凭据构建Google Apps Script API的服务客户端。
• service.scripts().run(body=request, scriptId=script_id).execute(): 调用Apps Script API，执行指定script_id中的function_name函数。

注意事项与最佳实践

1. 权限范围（SCOPES）的精细化管理：
   • 始终遵循最小权限原则。只请求你的应用程序实际需要的权限，避免请求过宽的权限。这不仅提高了安全性，也减少了用户在授权时的顾虑。
   • 如果Apps Script只进行读操作，可以考虑使用只读权限，例如https://www.googleapis.com/auth/spreadsheets.readonly。
2. credentials.json的安全保护：
   • credentials.json文件包含你的客户端ID和客户端密钥，这些信息非常敏感。
   • 绝不能将其上传到公共代码仓库（如GitHub）。
   • 在生产环境中，应妥善保管此文件，并限制其访问权限。
3. token.json的生命周期与刷新机制：
   • 刷新令牌通常是长期有效的，但并非永久有效。用户可以随时在Google账户设置中撤销对应用程序的授权。一旦撤销，刷新令牌将失效，脚本将再次要求用户进行手动认证。
   • 在极少数情况下，Google也可能出于安全原因使刷新令牌失效。
4. 首次运行时的手动认证：
   • 无论自动化程度多高，第一次运行或刷新令牌失效后，都需要用户在浏览器中手动完成一次认证过程。这是OAuth 2.0流的固有特性，确保用户明确授权。
5. 错误处理与日志记录：
   • 在生产环境中，应增加更完善的错误处理和日志记录机制。捕获googleapiclient.errors.HttpError可以帮助你了解API调用的具体问题。
   • 详细的日志记录有助于追踪脚本的执行状态和调试潜在问题。
6. 部署环境考虑：
   • 在无头（headless）服务器或容器（如Docker）环境中部署时，flow.run_local_server(port=0)可能无法正常工作，因为它需要一个可交互的浏览器环境。
   • 对于这种场景，你通常需要在开发环境中手动运行一次脚本，生成token.json文件，然后将这个token.json文件安全地部署到生产服务器上。
   • 对于更高级的自动化需求，可以考虑使用Google服务账户（Service Account），但服务账户的权限模型与用户授权有所不同，通常用于访问不需要特定用户身份的服务或数据。

总结

通过本文介绍的持久化认证方法，开发者可以有效地解决Python调用Google Apps Script时重复认证的问题。利用token.json文件存储和管理OAuth 2.0凭据，实现了访问令牌的自动刷新，从而构建了无需人工干预的自动化流程。这对于数据同步、报表生成、工作流自动化等场景至关重要，极大地提升了自动化解决方案的效率和可靠性。在实施过程中，务必关注权限管理和凭据安全，以确保系统的稳健运行。

以上就是Python调用Google Apps Script实现无感认证自动化教程的详细内容，更多请关注php中文网其它相关文章！