java - Google Analytics 3.0 授权流程

Question

编辑:最初这个问题询问我如何仅使用我的 API key 对 Google Analytics API 进行身份验证。作为vlatko pointed out ，这是不可能的。现在我只专注于让 OAuth2 工作。当我有机会时，我会尝试 vlatko 的建议并更新问题。同时，请随时提供您认为我遗漏的任何答案。

---

原始问题:

我正在尝试向 Google Analytics API 发出请求。我正在穿过 Hello Analytics尝试复制这些步骤的教程。无论我尝试什么，我似乎都无法成功进行身份验证。

教程内容如下:

Open the file you created named HelloAnalyticsApi.java and add the following method:

private static Analytics initializeAnalytics() throws Exception {
    // Authorization.
    Credential credential = OAuth2Native.authorize(
        HTTP_TRANSPORT, JSON_FACTORY, new LocalServerReceiver(),
        Arrays.asList(AnalyticsScopes.ANALYTICS_READONLY));

    // Set up and return Google Analytics API client.
    return Analytics.builder(HTTP_TRANSPORT, JSON_FACTORY)
        .setApplicationName("Google-Analytics-Hello-Analytics-API-Sample")
        .setHttpRequestInitializer(credential)
        .build();
  }

When a user encounters this script, the application will attempt to open the default browser and navigate the user to a URL hosted on google.com. At this point, the user will be prompted to login and grant the application access to their data. Once granted, the application will attempt to read a code from the browser window, then close the window.

不同之处在于，我正在尝试使用 servlet 应用程序执行此操作，并且我想使用带有 API key (而不是 OAuth 2.0 客户端 ID)的简单 API 访问。我知道推荐使用 OAuth 2.0，但我只需要访问我拥有的数据并希望简化技术要求。我的决定基于 this page ，它说:

An API key is a unique key that you generate using the Console. When your application needs to call an API that's enabled in this project, the application passes this key into all API requests as a key={API_key} parameter. Use of this key does not require any user action or consent, does not grant access to any account information, and is not used for authorization.

If you are only calling APIs that do not require user data, such as the Google Custom Search API, then API keys may be simpler to implement. However, if your application already uses an OAuth 2.0 access token, then there is no need to generate an API key as well. In fact, Google ignores passed API keys if an OAuth 2.0 access token is already associated with the corresponding project.

我找不到很多仅使用 API key 的身份验证流程的代码示例 - 我发现的大多数内容都显示使用带有下载的 .p12 文件的客户端 ID，例如 GoogleCredential java文档。我能找到的一个示例应用程序是 Google 的 Books Sample应用程序。无论如何，这是我尝试过的(模仿教程中的第一个请求，它从管理 API 获取帐户列表):

Analytics analytics =
        new Analytics.Builder(httpTransport, jsonFactory, null)
        .setApplicationName("Dev API Access")
        .build();
Management.Accounts.List list =
        analytics.management().accounts().list().setKey(apiKey);
Accounts accounts = list.execute();

其中“Dev API Access”是我的 API 控制台仪表板中的“名称”字段。 API key 是仅限于我的 IP 地址的服务器 key 。这将失败并显示以下响应:

401 Unauthorized
{
  "code": 401,
  "errors": [
    {
      "domain": "global",
      "location": "Authorization",
      "locationType": "header",
      "message": "Login Required",
      "reason": "required"
    }
  ],
  "message": "Login Required"
}

我也试过这个:

Analytics analytics =
        new Analytics.Builder(httpTransport, jsonFactory, null)
        .setApplicationName("Dev API Access")
        .setGoogleClientRequestInitializer(new AnalyticsRequestInitializer(apiKey))
        .build();

Management.Accounts.List list = analytics.management().accounts().list();
Accounts accounts = list.execute();

显示相同的错误。我在这里做错了什么？分析调用是否需要 OAuth2？如果是这样，为什么仅使用 API key 就可以在 Books Sample 应用程序中工作？

---

继续前进，我继续尝试 OAuth2 - 我创建了一个客户端 ID 并下载了 .p12 私钥文件。但我也无法让它工作。这是我尝试过的:

Credential credential =
        new GoogleCredential.Builder()
        .setTransport(httpTransport)
        .setJsonFactory(jsonFactory)
        .setServiceAccountId(serviceAccountId)
        .setServiceAccountScopes(AnalyticsScopes.ANALYTICS_READONLY)
        .setServiceAccountPrivateKeyFromP12File(new File(p12FilePath))
        .setServiceAccountUser(serviceAccountUser)
        .build();

Analytics analytics =
        new Analytics.Builder(httpTransport, jsonFactory, credential)
        .setApplicationName("Dev API Access")
        .build();

Management.Accounts.List list = analytics.management().accounts().list();
Accounts accounts = list.execute();

其中 serviceAccountId 是拥有该项目的 Google 帐户的电子邮件地址，serviceAccountUser 是生成的客户端 ID 上列出的电子邮件地址。失败并显示以下内容:

400 Bad Request
{
  "error": "invalid_grant"
}

“无效授权”是什么意思，我如何成功进行身份验证(最好不使用 OAuth2)？

Answer 1

回答你的第一个问题:一般情况下，OAuth2.0用于授权访问用户的隐私数据，所以需要征得用户同意并获得访问 token 。但是，在使用 Google Books API 的情况下，如果您要访问公共(public)数据，则无需最终用户同意，因此 API key 就足够了。如果您尝试使用 Books API 访问非公开数据，您仍然需要一个 OAuth2 token 。

对于您的案例来说，好消息是即使使用 OAuth2，您也可以绕过用户参与并使用服务帐户简化您的流程 - 假设您的应用程序可以访问 API。有一种方法可以为 Analytics API 进行设置，解释了 here (检查服务帐户部分中的步骤)。我认为您的 Credential 构建器走在正确的轨道上，但我认为您不需要在那里设置服务帐户用户，因为您没有进行任何用户模拟。