在 python 中，我尝试通过服务帐户调用 GMail API委派全域权限 https://developers.google.com/identity/protocols/oauth2/service-account#authorizingrequests, without using SERVICE_ACCOUNT_FILE.

我的目标是避免制造秘密Key对于服务帐户。相反，我给了Service Account Token Creator流程所有者的角色（我在本地开发中，App Engine 服务帐户在产品中）。

在下面的代码中，我成功获取并使用了服务帐户的访问令牌，没有任何SERVICE_ACCOUNT_FILE.

from google.cloud.iam_credentials_v1 import IAMCredentialsClient
from google.oauth2.credentials import Credentials
import googleapiclient.discovery

tk = IAMCredentialsClient().generate_access_token(
    name=f'projects/-/serviceAccounts/{service_id}',
    scope=['https://www.googleapis.com/auth/gmail.insert'],
    # subject='[email protected] /cdn-cgi/l/email-protection' doesn't work here :'(
)
service = googleapiclient.discovery.build('gmail', 'v1', credentials=Credentials(tk.access_token))
response = service.users().messages().insert(userId='[email protected] /cdn-cgi/l/email-protection', body=body).execute()

问题是，在 Google Admin 中向服务帐户授予权限后my.domain，我收到以下错误：

{'message': '前置条件检查失败。', 'domain': '全局', 'reason': 'failedPrecondition'}

我怀疑我缺少的是subject，即管理员的电子邮件地址my.domain.

我知道我可以提供subject通过构建credentials不同的是：

from google.oauth2 import service_account
credentials = service_account.Credentials.from_service_account_file(key_file, scopes=scopes)
delegated_credentials = credentials.with_subject('[email protected] /cdn-cgi/l/email-protection'). # <- I need this
service = googleapiclient.discovery.build('gmail', 'v1', credentials=delegated_credentials)

但这需要创建一个密钥，我想避免这种情况。

有没有办法传递上面第一个代码示例中的主题？

据我所知这是不可能的

^{Would be happy to be proved wrong on this!}

我将此作为免责声明，因为你是对的，它并没有明确否认这种可能性。通常并不要求文档明确表达您可以表达的一切not这样做，尽管我确实看到这里可能会造成混乱，因此可能值得“发送反馈”到文档页面。

说明内容

准备进行授权 API 调用

从API控制台获取客户端电子邮件地址和私钥后...

source https://developers.google.com/identity/protocols/oauth2/service-account#python

没有任何地方说“这是一个可选步骤”。这在其他地方也是如此，比如有关域范围委派的目录 API 说明 https://developers.google.com/admin-sdk/directory/v1/guides/delegation， 或者报告API https://developers.google.com/admin-sdk/reports/v1/guides/delegation

不使用密钥的建议

以下内容来自您链接的文章：

仅当没有可行的替代方案时才使用服务帐户密钥

服务帐户密钥可让应用程序作为服务进行身份验证 帐户，类似于用户使用用户名和进行身份验证的方式 密码。

source https://cloud.google.com/blog/products/identity-security/how-to-authenticate-service-accounts-to-help-keep-applications-secure

例如，当您将服务帐户附加到 App Engine 实例时，该实例就像用户，而服务帐户就是其用户帐户。它充当实例的一种身份。有关此的更多信息StackOverflow线程 https://stackoverflow.com/questions/55354070/how-to-assign-multiple-service-account-credentials-to-google-cloud-functions.

所以服务帐户的唯一方法是假装是另一个帐户，有钥匙。同样，用户充当服务帐户的唯一方法是使用密钥。因此，如果您尝试启用域范围的委派，这预示着您希望有一个服务帐户行为as-if这是其他帐户，拥有钥匙是必不可少的，无论服务帐户是否附加到 App Engine 实例。

当然，它没有明确提到你可以not无需钥匙即可实现此目的。虽然没有提到你can任何一个。从我运行的测试来看，我遇到了与您类似的结果，所以看来您不能。正如免责声明中提到的，我很高兴被证明是错误的，但是，我怀疑这是由于漏洞而不是预期行为造成的。

您没有提到为什么需要域范围的授权，因此您可能需要评估是否真的需要它。通常所需要的只是 OAuth 流程，应用程序在其中执行操作哦-代表用户的，而不是as-if是用户。

参考

• 使用服务帐户访问 Google API https://developers.google.com/identity/protocols/oauth2/service-account#python
• 如何验证服务帐户 https://cloud.google.com/blog/products/identity-security/how-to-authenticate-service-accounts-to-help-keep-applications-secure
• 有关域范围委派的目录 API 说明 https://developers.google.com/admin-sdk/directory/v1/guides/delegation
• 报告有关域范围委派的 API 指令 https://developers.google.com/admin-sdk/reports/v1/guides/delegation
• “如何将多个服务帐户分配给云功能”（你不能） https://stackoverflow.com/questions/55354070/how-to-assign-multiple-service-account-credentials-to-google-cloud-functions.