本文档旨在解决使用 Google 服务账号通过 Activity API 检索 Google Drive 活动时遇到的问题。核心在于理解 Activity API 的工作机制,以及服务账号在其中的角色。文章将解释为什么直接使用服务账号可能无法获取预期结果,并提供一种替代方案:通过启用域范围授权来模拟用户行为,从而成功检索到指定用户的 Google Drive 活动。
理解 Activity API 和服务账号
Google Drive Activity API 旨在检索用户 Google Drive 中发生的活动。它跟踪用户对 Drive 中对象的更改,例如文件的创建、修改、删除等。
服务账号是一种特殊的 Google 账号,通常用于服务器到服务器的应用程序交互,无需人为干预。它通过 JSON 密钥进行身份验证,并拥有自己的身份。
问题:服务账号无法直接获取指定用户的 Drive 活动
直接使用服务账号调用 Activity API 时,即使该服务账号已被授予对 Google Drive 中特定文件夹的访问权限,也可能无法检索到任何活动。这是因为 Activity API 默认情况下只查找服务账号本身的活动,而不是共享文件夹中其他用户的活动。
换句话说,即使你将服务账号添加到共享文件夹,它也只会记录服务账号在该文件夹中执行的操作,而不会记录其他用户(例如你自己的个人账号)的操作。
解决方案:使用域范围授权 (Domain-Wide Delegation)
要使服务账号能够代表其他用户(例如你的个人 Google 账号)访问 Activity API,你需要启用域范围授权。域范围授权允许服务账号模拟组织内任何用户的身份。
前提条件:
- 你需要拥有 Google Workspace 账号(而非个人 Google 账号)。
- 你需要在 Google Cloud Platform (GCP) 控制台中创建并配置服务账号。
步骤:
启用 API 访问控制: 在你的 Google Workspace 管理控制台中,找到 "安全" -> "API 控制"。确保启用 "启用 API 访问控制" 选项。
-
配置服务账号的域范围授权:
- 转到你的 GCP 项目中的 "IAM & 管理员" -> "服务账号"。
- 找到你的服务账号,然后点击 "编辑"。
- 展开 "显示域范围授权" 部分。
- 选中 "启用 Google Workspace 域范围授权" 复选框。
- 输入 OAuth 范围。对于 Drive Activity API,你需要添加 https://www.googleapis.com/auth/drive.activity.readonly。也可以根据需求添加其他范围。
- 点击 "保存"。
-
授权服务账号模拟你的用户:
- 在 Google Workspace 管理控制台中,转到 "安全" -> "API 控制" -> "管理域范围授权"。
- 点击 "添加新内容"。
- 输入服务账号的客户端 ID (可以在 GCP 控制台的服务账号详细信息页面找到)。
- 输入 OAuth 范围,与你在步骤 2 中使用的范围相同。
- 点击 "授权"。
-
修改你的 PHP 代码:
use Google\Client; use Google\Service\DriveActivity; use Google\Service\DriveActivity\QueryDriveActivityRequest; $client = new Client(); $client->setApplicationName('Your Application Name'); $client->setAuthConfig(__DIR__ . '/service_account.json'); $client->setScopes(DriveActivity::DRIVE_ACTIVITY_READONLY); // 设置要模拟的用户 $user_to_impersonate = 'your_google_account@example.com'; // 替换为你的 Google 账号 $client->setSubject($user_to_impersonate); $client->fetchAccessTokenWithAssertion(); $service = new DriveActivity($client); $request = new QueryDriveActivityRequest(); $request->setPageSize(10); $results = $service->activity->query($request); if (count($results->getActivities()) == 0) { print "No activity.\n"; } else { foreach ($results->getActivities() as $activity) { // 处理活动 print_r($activity); } }关键代码解释:
- $client->setSubject($user_to_impersonate);: 这一行代码告诉 Google API 客户端库,服务账号应该模拟哪个用户。将 your_google_account@example.com 替换为你要检索其 Drive 活动的用户的 Google 账号。
注意事项
- 权限管理: 确保服务账号拥有必要的权限才能访问 Drive Activity API。
- OAuth 范围: 选择正确的 OAuth 范围非常重要。https://www.googleapis.com/auth/drive.activity.readonly 允许只读访问 Drive 活动。
- 错误处理: 在生产环境中,添加适当的错误处理机制来处理 API 调用失败的情况。
- 速率限制: 注意 Google API 的速率限制,避免过度请求导致 API 调用被限制。
总结
通过启用域范围授权,你可以使用 Google 服务账号代表其他用户访问 Drive Activity API,从而检索到指定用户的 Google Drive 活动。这种方法特别适用于需要在服务器端自动化访问用户 Drive 活动的场景。记住,正确的权限配置和错误处理是确保应用程序正常运行的关键。
