使用 Google 服务账号检索 Google Drive 活动：一种解决方案

本文档旨在解决使用 Google 服务账号通过 Activity API 检索 Google Drive 活动时遇到的问题。核心在于理解 Activity API 的工作机制，以及服务账号在其中的角色。文章将解释为什么直接使用服务账号可能无法获取预期结果，并提供一种替代方案：通过启用域范围授权来模拟用户行为，从而成功检索到指定用户的 Google Drive 活动。

理解 Activity API 和服务账号

Google Drive Activity API 旨在检索用户 Google Drive 中发生的活动。它跟踪用户对 Drive 中对象的更改，例如文件的创建、修改、删除等。

服务账号是一种特殊的 Google 账号，通常用于服务器到服务器的应用程序交互，无需人为干预。它通过 JSON 密钥进行身份验证，并拥有自己的身份。

问题：服务账号无法直接获取指定用户的 Drive 活动

直接使用服务账号调用 Activity API 时，即使该服务账号已被授予对 Google Drive 中特定文件夹的访问权限，也可能无法检索到任何活动。这是因为 Activity API 默认情况下只查找服务账号本身的活动，而不是共享文件夹中其他用户的活动。

换句话说，即使你将服务账号添加到共享文件夹，它也只会记录服务账号在该文件夹中执行的操作，而不会记录其他用户（例如你自己的个人账号）的操作。

解决方案：使用域范围授权 (Domain-Wide Delegation)

要使服务账号能够代表其他用户（例如你的个人 Google 账号）访问 Activity API，你需要启用域范围授权。域范围授权允许服务账号模拟组织内任何用户的身份。

前提条件：

• 你需要拥有 Google Workspace 账号（而非个人 Google 账号）。
• 你需要在 Google Cloud Platform (GCP) 控制台中创建并配置服务账号。

步骤：

1. 启用 API 访问控制: 在你的 Google Workspace 管理控制台中，找到 “安全” -youjiankuohaophpcn “API 控制”。确保启用 “启用 API 访问控制” 选项。

2. 配置服务账号的域范围授权:

   • 转到你的 GCP 项目中的 “IAM & 管理员” -> “服务账号”。
   • 找到你的服务账号，然后点击 “编辑”。
   • 展开 “显示域范围授权” 部分。
   • 选中 “启用 Google Workspace 域范围授权” 复选框。
   • 输入 OAuth 范围。对于 Drive Activity API，你需要添加 https://www.googleapis.com/auth/drive.activity.readonly。也可以根据需求添加其他范围。
   • 点击 “保存”。

3. 授权服务账号模拟你的用户:

   • 在 Google Workspace 管理控制台中，转到 “安全” -> “API 控制” -> “管理域范围授权”。
   • 点击 “添加新内容”。
   • 输入服务账号的客户端 ID (可以在 GCP 控制台的服务账号详细信息页面找到)。
   • 输入 OAuth 范围，与你在步骤 2 中使用的范围相同。
   • 点击 “授权”。

4. 修改你的 PHP 代码:

   use Google\Client;
   use Google\Service\DriveActivity;
   use Google\Service\DriveActivity\QueryDriveActivityRequest;
   $client = new Client();
   $client->setApplicationName('Your Application Name');
   $client->setAuthConfig(__DIR__ . '/service_account.json');
   $client->setScopes(DriveActivity::DRIVE_ACTIVITY_READONLY);
   // 设置要模拟的用户
   $user_to_impersonate = 'your_google_account@example.com'; // 替换为你的 Google 账号
   $client->setSubject($user_to_impersonate);
   $client->fetchAccessTokenWithAssertion();
   $service = new DriveActivity($client);
   $request = new QueryDriveActivityRequest();
   $request->setPageSize(10);
   $results = $service->activity->query($request);
   if (count($results->getActivities()) == 0) {
   print "No activity.\n";
   } else {
   foreach ($results->getActivities() as $activity) {
   // 处理活动
   print_r($activity);
   }
   }

   关键代码解释：

   • $client->setSubject($user_to_impersonate);: 这一行代码告诉 Google API 客户端库，服务账号应该模拟哪个用户。将 your_google_account@example.com 替换为你要检索其 Drive 活动的用户的 Google 账号。

注意事项

• 权限管理: 确保服务账号拥有必要的权限才能访问 Drive Activity API。
• OAuth 范围: 选择正确的 OAuth 范围非常重要。https://www.googleapis.com/auth/drive.activity.readonly 允许只读访问 Drive 活动。
• 错误处理: 在生产环境中，添加适当的错误处理机制来处理 API 调用失败的情况。
• 速率限制: 注意 Google API 的速率限制，避免过度请求导致 API 调用被限制。

总结

通过启用域范围授权，你可以使用 Google 服务账号代表其他用户访问 Drive Activity API，从而检索到指定用户的 Google Drive 活动。这种方法特别适用于需要在服务器端自动化访问用户 Drive 活动的场景。记住，正确的权限配置和错误处理是确保应用程序正常运行的关键。