php - OAuth2 token ，消息 : '{ "error": "access_denied" }' returned when I try to update Google Calendar using OAuth (Service Account)

Question

我正在使用适用于 PHP 的 Google 标准库来使用日历服务，并且我已经通过 Google API 控制台为 OAuth 2.0 身份验证设置了一个服务帐户类型。

我的主要目标是通过批量更新用户的谷歌日历(例如:user@organisationname.com)(当用户不在线时)。例如。更新用户日历中的事件。

当用户登录应用程序(使用 OAuth2.0)时，他/她将为应用程序提供“管理您的日历”、“查看您的日历”和“在我不使用应用”

以下代码用于使用OAuth2.0登录

<?php
require_once '../../src/Google_Client.php';
require_once '../../src/contrib/Google_CalendarService.php';
session_start();

$client = new Google_Client();
$client->setApplicationName("Google Calendar PHP Starter Application");


$client->setClientId('XXXXX-flue2a9o5ll602ovrhaejlpm9otgjh1r.apps.googleusercontent.com');
$client->setClientSecret('XXXXXXXXXX');
$client->setRedirectUri('http://localhost/testAPI/google-api-php-client/examples/calendar/simple.php');
$client->setDeveloperKey('AIzaSyCGvXRXGMo58ZDswyb4zBkJgRMLcHBRIrI');
$cal = new Google_CalendarService($client);
if (isset($_GET['logout'])) {
  unset($_SESSION['token']);
}

if (isset($_GET['code'])) {
  $client->authenticate($_GET['code']);

  $_SESSION['code']=$_GET['code'];

  $_SESSION['token'] = $client->getAccessToken();
  header('Location: http://' . $_SERVER['HTTP_HOST'] . $_SERVER['PHP_SELF']);
}

if (isset($_SESSION['token'])) {
  $client->setAccessToken($_SESSION['token']);
}

if ($client->getAccessToken()) {
  $calList = $cal->calendarList->listCalendarList();
  print "<h1>Calendar List</h1><pre>" . print_r($calList, true) . "</pre>";

  echo $_SESSION['code'];


$_SESSION['token'] = $client->getAccessToken();
} else {
  $authUrl = $client->createAuthUrl();
  print "<a class='login' href='$authUrl'>Connect Me!</a>";
}

?>

获得权限后，我是否必须保存一些内容以便将来在用户未登录时使用这些权限？

当用户登录时，以下代码工作正常。但返回刷新 OAuth2 token 时出错，消息:'{ "error": "access_denied"}' 当用户注销时

<?php 

require_once '../src/Google_Client.php';
require_once '../src/contrib/Google_CalendarService.php';

session_start();

const CLIENT_ID = 'XXXXXX.apps.googleusercontent.com';
const SERVICE_ACCOUNT_NAME = 'XXXX@developer.gserviceaccount.com';

const KEY_FILE = 'f183b8caXXXXXXXXatekey.p12';

$client = new Google_Client();
$client->setApplicationName("XXXXXXXX Calendar Service");

if (isset($_SESSION['token'])) {
 $client->setAccessToken($_SESSION['token']);
}

$key = file_get_contents(KEY_FILE);
$client->setClientId(CLIENT_ID);

$client->setAssertionCredentials(new Google_AssertionCredentials(
        SERVICE_ACCOUNT_NAME,
        array('https://www.googleapis.com/auth/calendar'),
        $key,
        'notasecret',
        'http://oauth.net/grant_type/jwt/1.0/bearer',
        '363183053@developer.gserviceaccount.com')
);

$client->setClientId(CLIENT_ID);

$cal = new Google_CalendarService($client);

    try{
$cal->events->quickAdd("info@organisationname.com", "SERVICE TEST ");
}catch(Exception $e){

    print_r($e->getMessage());
}

// We're not done yet. Remember to update the cached access token.
// Remember to replace $_SESSION with a real database or memcached.
if ($client->getAccessToken()) {
    echo $_SESSION['token'] = $client->getAccessToken();
}

当用户未登录时，我应该怎么做才能更新日历(前提是用户已授予权限)。我是否应该在用户登录时保存访问代码并在以后运行批处理时使用它？

BTW 什么是关联句柄？

Answer 1

事实上，您不需要与服务帐户共享日历。需要做的是将域范围的权限委托(delegate)给您的服务帐户。

您创建的服务帐户现在需要被授予访问您想要访问的 Google Apps 域的用户数据的权限。

以下任务必须由 Google Apps 域的管理员执行:1. 转到您的 Google Apps 域的控制面板。 URL 应如下所示:https://www.google.com/a/cpanel/mydomain.com

1. 转到高级工具... > 管理第三方 OAuth 客户端访问。

2. 在客户名称字段中输入服务帐户的客户 ID。

3. 在一个或多个 API 范围字段中，输入您的应用程序应被授予访问权限的范围列表。例如，如果您需要对 Google Calendar API 进行全域只读访问，请输入:https://www.googleapis.com/auth/calendar.readonly

4. 点击授权按钮。