Как использовать учетную запись службы Google вместо oAuth2Client для использования Google Apps API?

Question

Я успешно использовал oAuth2Client с Node, используя Руководство по быстрому запуску Google :

const fs = require('fs');
const readline = require('readline');
const {google} = require('googleapis');

// If modifying these scopes, delete token.json.
const SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly'];
// The file token.json stores the user's access and refresh tokens, and is
// created automatically when the authorization flow completes for the first
// time.
const TOKEN_PATH = 'token.json';

// Load client secrets from a local file.
fs.readFile('credentials.json', (err, content) => {
  if (err) return console.log('Error loading client secret file:', err);
  // Authorize a client with credentials, then call the Google Drive API.
  authorize(JSON.parse(content), listFiles);
});

/**
 * Create an OAuth2 client with the given credentials, and then execute the
 * given callback function.
 * @param {Object} credentials The authorization client credentials.
 * @param {function} callback The callback to call with the authorized client.
 */
function authorize(credentials, callback) {
  const {client_secret, client_id, redirect_uris} = credentials.installed;
  const oAuth2Client = new google.auth.OAuth2(
      client_id, client_secret, redirect_uris[0]);

  // Check if we have previously stored a token.
  fs.readFile(TOKEN_PATH, (err, token) => {
    if (err) return getAccessToken(oAuth2Client, callback);
    oAuth2Client.setCredentials(JSON.parse(token));
    callback(oAuth2Client);
  });
}

/**
 * Get and store new token after prompting for user authorization, and then
 * execute the given callback with the authorized OAuth2 client.
 * @param {google.auth.OAuth2} oAuth2Client The OAuth2 client to get token for.
 * @param {getEventsCallback} callback The callback for the authorized client.
 */
function getAccessToken(oAuth2Client, callback) {
  const authUrl = oAuth2Client.generateAuthUrl({
    access_type: 'offline',
    scope: SCOPES,
  });
  console.log('Authorize this app by visiting this url:', authUrl);
  const rl = readline.createInterface({
    input: process.stdin,
    output: process.stdout,
  });
  rl.question('Enter the code from that page here: ', (code) => {
    rl.close();
    oAuth2Client.getToken(code, (err, token) => {
      if (err) return console.error('Error retrieving access token', err);
      oAuth2Client.setCredentials(token);
      // Store the token to disk for later program executions
      fs.writeFile(TOKEN_PATH, JSON.stringify(token), (err) => {
        if (err) return console.error(err);
        console.log('Token stored to', TOKEN_PATH);
      });
      callback(oAuth2Client);
    });
  });
}

/**
 * Lists the names and IDs of up to 10 files.
 * @param {google.auth.OAuth2} auth An authorized OAuth2 client.
 */
function listFiles(auth) {
  const drive = google.drive({version: 'v3', auth});
  drive.files.list({
    pageSize: 10,
    fields: 'nextPageToken, files(id, name)',
  }, (err, res) => {
    if (err) return console.log('The API returned an error: ' + err);
    const files = res.data.files;
    if (files.length) {
      console.log('Files:');
      files.map((file) => {
        console.log(`${file.name} (${file.id})`);
      });
    } else {
      console.log('No files found.');
    }
  });
}

Однако я хочу избежать экрана согласия и сделать сервис для аутентификации сервиса.

Я нашел Узел GToken , чтобы получить токен, но где мне поместить его в код и как его использовать?

const key = '-----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXX...';
const { GoogleToken } = require('gtoken');
const gtoken = new GoogleToken({
  email: 'my_service_account_email@developer.gserviceaccount.com',
  scope: ['https://scope1', 'https://scope2'], // or space-delimited string of scopes
  key: key
});

Я также нашел следующий код о том, как реализовать Аутентификация между сервисами , но, похоже, он реализован для вычислительной службы Google. Пример гласит:

Например, клиент аутентификации JWT будет создан, когда ваш код работает на вашем локальном компьютере разработчика, и клиент Compute будет создан, когда тот же код работает на настроенном экземпляре Google Compute Engine.

const {google} = require('googleapis');
const compute = google.compute('v1');

async function main () {
  // This method looks for the GCLOUD_PROJECT and GOOGLE_APPLICATION_CREDENTIALS
  // environment variables.
  const auth = await google.auth.getClient({
    // Scopes can be specified either as an array or as a single, space-delimited string.
    scopes: ['https://www.googleapis.com/auth/compute']
  });

  // obtain the current project Id
  const project = await google.auth.getProjectId();

  // Fetch the list of GCE zones within a project.
  const res = await compute.zones.list({ project, auth });
  console.log(res.data);
}

main().catch(console.error);

Я нашел код на других сайтах, использующих googleapis.auth.JWT, но не могу найти никакой документации по этому вопросу для обслуживания учетных записей, используемых в Службах Google.

Здесь говорится, что учетная запись службы - это не то, что нужно. К сожалению, я не понимаю, в чем заключается вопрос, чтобы понять, относится ли ответ и к моей ситуации. Я хочу разрешить приложению node.js использовать мой диск без необходимости каждый раз получать к нему доступ.

Я не знаю, как перевести код быстрого старта для размещения служебной учетной записи.

Answer 1

У меня нет доступа к учетной записи "Google Drive для бизнеса", поэтому я публикую информацию о том, что я могу сделать с моим личным Google Drive ("Мой диск").

Я также читал на некоторых страницах в Интернете, что вы не можете поделиться «Team Drive», но, возможно, вы можете добавить служебную учетную запись в качестве члена команды.

В этом коде перечислены файлыв папке «Мой диск» после того, как я поделился этой папкой с учетной записью службы.

// load library
const { google } = require('googleapis');

// configure a JWT auth client
const privatekey = require("./privatekey.json");

const jwtClient = new google.auth.JWT(
    privatekey.client_email,
    null,
    privatekey.private_key,
    [
        'https://www.googleapis.com/auth/drive.readonly',
        'https://www.googleapis.com/auth/drive.metadata.readonly'
    ]
);

jwtClient.authorize()
    .then(function (tokens) {
        // console.log(tokens);
        console.log("Authentication successfull.\n");

        // list the files once authenticated
        listFiles(jwtClient);
    })
    .catch(function (error) {
        throw (error);
    });


function listFiles(auth) {
    const drive = google.drive({ version: 'v3', auth });
    drive.files.list({
        pageSize: 10,
        fields: 'nextPageToken, files(id, name)',
        // q: "name contains 'foo'"
    })
        .then(res => {
            console.log(res.data);
        })
        .catch(err => console.log(err));

}

privatekey.json - это закрытый ключ учетной записи службы (загруженный и переименованный) из «Google Cloud Platform»,где, конечно, "Google Drive API" включен.

Внутри privatekey.json вы можете найти адрес электронной почты для служебной учетной записи, который вы можете затем попытаться добавить в «Team Drive».