У меня есть учетная запись G Suite, и я использую пользователя Super Admin для аутентификации API. Это мой код:
private static function authGoogle() {
$base_path = base_path();
$client = new Google_Client();
$client->setScopes([
Google_Service_Directory::ADMIN_DIRECTORY_USER,
Google_Service_Directory::ADMIN_DIRECTORY_GROUP,
Google_Service_Directory::ADMIN_DIRECTORY_GROUP_MEMBER
]);
try {
$client->setAuthConfig($base_path.'/client_secret.json');
}
catch (\Google_Exception $ex) {
return $ex->getMessage();
}
$client->setAccessType('offline');
$credentialsPath = $base_path.'/credentials.json';
if (file_exists($credentialsPath)) {
$accessToken = json_decode(file_get_contents($credentialsPath), true);
} else {
$authUrl = $client->createAuthUrl();
printf("Open the following link in your browser:\n%s\n", $authUrl);
print 'Enter verification code: ';
$authCode = trim(fgets(STDIN));
$accessToken = $client->fetchAccessTokenWithAuthCode($authCode);
if (!file_exists(dirname($credentialsPath))) {
mkdir(dirname($credentialsPath), 0700, true);
}
file_put_contents($credentialsPath, json_encode($accessToken));
printf("Credentials saved to %s\n", $credentialsPath);
}
$client->setAccessToken($accessToken);
if ($client->isAccessTokenExpired()) {
$client->fetchAccessTokenWithRefreshToken($client->getRefreshToken());
file_put_contents($credentialsPath, json_encode($client->getAccessToken()));
}
return $client;
}
Используя эту функцию авторизации, я могу успешно сделать это:
$client = self::authGoogle();
$service = new Google_Service_Directory($client);
$postBody = new Google_Service_Directory_User();
$postBody->setPrimaryEmail($username.'@mydomain.com');
$postBody->setPassword($password);
$name = new Google_Service_Directory_UserName();
$name->setFamilyName($last_name);
$name->setGivenName($first_name);
$postBody->setChangePasswordAtNextLogin(true);
$postBody->setName($name);
$user = $service->users->insert($postBody);
return json_encode($user);
И это работает отлично, добавляет пользователя, устанавливает пароль и запрашивает смену пароля при следующем / первом входе в систему. Также, когда я использую службу каталогов $service->users->listUsers($params)->getUsers();
Я получаю ответ со списком пользователей, но когда я пытаюсь:
$client = self::authGoogle();
$service = new Google_Service_Directory($client);
return json_encode($service->users->get($email));
Я не могу пройти и получить этот ответ:
{
"error":{
"errors":[
{
"domain":"global",
"reason":"forbidden",
"message":"Not Authorized to access this resource/api"}
],
"code":403,
"message":"Not Authorized to access this resource/api"}
}
Что мне не хватает? API Explorer на стороне Google говорит, что достаточно иметь ADMIN_DIRECTORY_USER, и снова я могу создавать пользователей, получать список пользователей, но не могу получить отдельного пользователя, ссылаясь на недостаточные привилегии.
Задача ещё не решена.
Других решений пока нет …