是否可以使用服务帐户访问Provisioning API？

2024-02-12

我的服务帐户范围是：https://apps-apis.google.com/a/feeds/user/ https://apps-apis.google.com/a/feeds/user/和 DriveScope.DRIVE

我在我的服务帐户 ID 的域设置中的“管理第三方 OAuth 客户端访问”中授权了相同的范围。

我使用配置 API 的 java 客户端。

我使用 google oauth 客户端构建我的凭据GoogleCredential.Builder :

credBuilder.setTransport(HTTP_TRANSPORT)
        .setJsonFactory(JSON_FACTORY)
        .setServiceAccountId(config.serviceAccountId)
        .setServiceAccountPrivateKeyFromP12File(new File(config.keyFilePath))
        .setServiceAccountScopes(SCOPES);
        .setServiceAccountUser("[email protected] /cdn-cgi/l/email-protection")

我尝试将我的请求授权给配置 api

userService = new UserService(config.repositoryId);
userService.setOAuth2Credentials(oAuthCredentials);

where oAuthCredentials是我之前构建的服务凭证。

通过该配置，我可以访问我域中任何用户的 Google 云端硬盘中的文件和集合。但我无法使用这些凭据访问我的域的用户列表。

如果我不指定服务帐户用户，它也不起作用

这是我得到的堆栈跟踪：

com.google.gdata.util.ServiceForbiddenException: You are not authorized to access this API.
<HTML>
<HEAD>
<TITLE>You are not authorized to access this API.</TITLE>
</HEAD>
<BODY BGCOLOR="#FFFFFF" TEXT="#000000">
<H1>You are not authorized to access this API.</H1>
<H2>Error 403</H2>
</BODY>
</HTML>
at com.google.gdata.client.http.HttpGDataRequest.handleErrorResponse(HttpGDataRequest.java:605)
at com.google.gdata.client.http.GoogleGDataRequest.handleErrorResponse(GoogleGDataRequest.java:564)
at com.google.gdata.client.http.HttpGDataRequest.checkResponse(HttpGDataRequest.java:560)
at com.google.gdata.client.http.HttpGDataRequest.execute(HttpGDataRequest.java:538)
at com.google.gdata.client.http.GoogleGDataRequest.execute(GoogleGDataRequest.java:536)
at com.google.gdata.client.Service.getFeed(Service.java:1135)
at com.google.gdata.client.Service.getFeed(Service.java:998)
at com.google.gdata.client.GoogleService.getFeed(GoogleService.java:645)
at com.google.gdata.client.Service.getFeed(Service.java:1017)
at com.google.gdata.client.appsforyourdomain.AppsForYourDomainService.getFeed(AppsForYourDomainService.java:137)
at foo.bar.baz.eci.gdrive.service.BaseService$1.doTry(BaseService.java:125)
at foo.bar.baz.eci.gdrive.service.BaseService$1.doTry(BaseService.java:1)
at foo.bar.baz.eci.gdrive.service.backoff.BackoffRequest.execute(BackoffRequest.java:50)
at foo.bar.baz.eci.gdrive.service.BaseService.getFeedWithBackoff(BaseService.java:129)
at foo.bar.baz.eci.gdrive.service.BaseService.retrieveAllEntries(BaseService.java:90)
at foo.bar.baz.eci.gdrive.service.GappsUserService.getAllUserFeed(GappsUserService.java:57)
at foo.bar.baz.eci.gdrive.GdriveContentProviderFactory.doDiscover(GdriveContentProviderFactory.java:67)
... 19 more

以及来自客户端库的日志记录：

21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setPrivateHeader
PLUS FIN: Authorization: <Not Logged>
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setPrivateHeader
PLUS FIN: Authorization: <Not Logged>
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setPrivateHeader
PLUS FIN: Authorization: <Not Logged>
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: User-Agent: gdocsRepo GData-Java/1.47.1(gzip)
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: User-Agent: gdocsRepo GData-Java/1.47.1(gzip)
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: User-Agent: gdocsRepo GData-Java/1.47.1(gzip)
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: Accept-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: Accept-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: Accept-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: GData-Version: 1.0
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: GData-Version: 1.0
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest setHeader
PLUS FIN: GData-Version: 1.0
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
FIN: 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
FIN: 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
FIN: 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Encoding: gzip
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Length: 151
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Length: 151
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Length: 151
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: null: HTTP/1.1 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: null: HTTP/1.1 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: null: HTTP/1.1 403 You are not authorized to access this API.
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Expires: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Expires: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Expires: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-XSS-Protection: 1; mode=block
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-XSS-Protection: 1; mode=block
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-XSS-Protection: 1; mode=block
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Frame-Options: SAMEORIGIN
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Frame-Options: SAMEORIGIN
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Frame-Options: SAMEORIGIN
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Date: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Date: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Date: Wed, 21 Nov 2012 14:17:37 GMT
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Type: text/html; charset=UTF-8
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Type: text/html; charset=UTF-8
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Content-Type: text/html; charset=UTF-8
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Server: GSE
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Server: GSE
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Server: GSE
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Content-Type-Options: nosniff
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Content-Type-Options: nosniff
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: X-Content-Type-Options: nosniff
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Cache-Control: private, max-age=0
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Cache-Control: private, max-age=0
21 nov. 2012 15:17:37 com.google.gdata.client.http.HttpGDataRequest execute
PLUS FIN: Cache-Control: private, max-age=0

经过调查，如果设置的帐户似乎会出现 403 错误.setServiceAccountUser("[email protected] /cdn-cgi/l/email-protection")不是域的“超级管理员”。

然而在上述情况下“[电子邮件受保护] /cdn-cgi/l/email-protection“确实是域的超级管理员。此外，该代码与域的任何其他超级管理员都能很好地配合，这导致人们相信该帐户有问题”[电子邮件受保护] /cdn-cgi/l/email-protection“ 尤其。

如果这种情况发生在其他人身上 - 也就是设置为“超级管理员”的帐户无法通过服务帐户访问仅限管理员使用的 API - 请务必在下面的评论中告知我们，我们将进一步调查这是否影响很大的人。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

是否可以使用服务帐户访问Provisioning API？的相关文章

为什么我没有从 Google OAuth 请求收到 RefreshToken？

我正在尝试将 Google 日历集成到我的应用程序中但在传递 RefreshToken 的 OAuth 授权方面遇到一些问题我收到的 AccessToken 没有问题但 RefreshToken 属性为 null 请参阅标记为 ERR
OWIN 不记名令牌身份验证

我有一些与不记名令牌相关的问题在欧文您可以保护门票Protect ticket 像这样 ClaimsIdentity identity new ClaimsIdentity Startup OAuthServerOptions Aut
如何使用 OAUTH2 从 Java 访问 Outlook.office365.com IMAP？

由于 Microsoft 宣布很快将无法再通过基本身份验证访问 Outlook IMAP 邮箱因此我正在尝试弄清楚如何在 Java 中使用 OAUTH2 正确打开 IMAP 邮箱但我总是收到错误代码 A1 NO AUTHENTICATE
针对 Google IAP 使用 Salesforce 命名凭据

Goal 我已经构建了一个在 Google App Engine 上运行的 REST API 受保护谷歌云应用内购买 https cloud google com iap 身份感知代理我的目标是使用服务帐号 https cloud goo
AAD 团体声称某些用户的 JWT 令牌缺失

我在 AAD 上遇到一些奇怪的行为用户成功登录后我们的 API 调用中某些用户收到未经授权的消息结果发现 JWT 中的声明丢失了一些用户获得 groups 声明他所属的所有 groupId 的数组一些用户获得 hasgroups
如何在谷歌自定义菜单中制作图标[重复]

这个问题在这里已经有答案了在 Google 应用程序中文档表格等是否可以使自定义菜单中的图标与插入菜单中的图标相似如果是这样我该怎么办 html 服务图表链接图像旁边甚至粗体斜体等旁边的内容 Thanks 没有公开的方法
Google Webmasters API for Java 返回空网站列表

我编写了一个简单的站点列表查询代码它使用 Oauth 与服务帐户基于谷歌的文档 https developers google com identity protocols OAuth2ServiceAccount 所使用的身份验证密钥文
keycloak 令牌自省总是失败并显示 {"active":false}

我有点急于让这件钥匙斗篷发挥作用我可以进行身份验证但由于某种原因我的令牌内省总是失败例如如果我尝试进行身份验证 curl d client id flask api d client secret 98594477 af85 4
在 OAuth2.0 中使用 Facebook 访问令牌作为资源所有者凭据

OAuth 2 0 规范定义了资源所有者密码凭证授予类型 https datatracker ietf org doc html draft ietf oauth v2 26 section 4 3 它允许直接使用资源所有者密码凭据即用户
始终“具有离线访问权限”|谷歌 OAuth 2

我正在尝试使用 Google OAuth2 api 获取用户的个人资料用户身份验证后在同意页面上总是要求我具有离线访问权限浏览器中的 URL 如下所示 https accounts google com o oauth2 auth
TOAuth2Authenticator：如何刷新过期的令牌？

我一定是错过了什么我一直在尝试使用新的对我来说是新的来自delphi xe2环境 TOAuth2Authenticator TRESTClient TRESTRequest TRESTResponse组件来刷新过期的OAUTH2令牌
为什么不调用 GrantRefreshToken 方法 - Oauth2 ASP.NET Web API

我使用请求正文向 oauth2 服务器发送请求 grant type refresh token refresh token abc 我将refresh token保存在数据库中接收异步方法 public async Task Recei
当用户存储在外部身份提供商服务中时与用户的关系

我正在尝试为其创建一个 API 和一个网站客户端最近我读了很多关于 OAuth2 作为安全机制的文章以及提供身份验证服务的公司例如auth0 com https auth0 com 甚至 Azure Active Directory
使用 Swift p2/OAuth2 并行刷新 OAuth2 访问令牌请求

我在用https github com p2 OAuth2 https github com p2 OAuth2用于通过 OAuth2 连接到我的应用程序的后端效果非常好我遇到的问题是当访问令牌过期并且同时发生多个请求时其中一些请求
OAuth 2.0：优点和用例 - 为什么？

谁能解释一下 OAuth2 的优点以及为什么我们应该实施它我问这个问题是因为我对此有点困惑这是我目前的想法 OAuth1 更准确地说是 HMAC 请求看起来合乎逻辑易于理解易于开发并且非常非常安全相反 OAuth2 带来了授权请求
使用 OAuth2 对应用程序*和*网站进行身份验证

我正在开发一个主要通过应用程序访问的网站我想使用 OAuth2 进行用户注册和身份验证由于它是一个 Android 应用程序我将开始使用 Google 的 OAuth2 东西因为它在 Android 上提供了一个不错的 UI 谷歌表
使用 Python gdata 和 oAuth 2 对日历进行身份验证

我正在将一个 Python 应用程序从 oAuth 1 迁移到 oAuth 2 该应用程序读取用户的 Google 日历提要使用 oAuth 1 如果用户可以使用他的 GMail 进行身份验证我的应用程序将打开浏览器帐户并授权访问我
使用 OAuth2 隐式流程（IdentityServer4），用户是否必须在每次访问令牌过期时重新输入密码？

我需要为 Angular2 客户端 Web 应用程序实现授权身份验证才能与资源服务器 WebApi 通信我正在调查 IdentiyServer4 并选择授予类型流程 HERE http docs identityserver io e
使用自己的 Web 应用程序 API - 使用 OAuth2 进行身份验证过程

Overview 我目前正在为图像共享应用程序创建 API 该应用程序将在网络上运行将来在移动设备上运行我了解 API 构建的逻辑部分但我仍然在努力满足我自己对身份验证部分的要求因此我的 API 必须可供全世界访问具有访客访问权
使用 Google OAuth2.0 时出现错误请求

从 Salesforce 中使用 Google OAuth 时我收到 400 错误请求以下错误与无效的 grant type 有关但如果您查看使用刷新令牌下的文档您会发现它是正确的 https developers google

随机推荐

将字符串与枚举进行比较

我正在使用名为 FindBugs 的静态分析工具分析以下代码 if str equals enum SOMEVALUE do something 其中 str 是字符串 enum 是枚举该工具会为此代码生成以下警告并指出此方法对没有公
需要布尔转换器 Struts2 来表示是、否、空白值

我需要根据 UI 表单元素上选择的值保存数据
Django 管理：类媒体

我有一个媒体类如下 class helloAdmin admin ModelAdmin class Media js choice js admin site register hello helloAdmin staticfiles 应用
为什么 scanf("%d", [...]) 不消耗 '\n'？而 scanf("%c") 呢？

Here https stackoverflow com questions 217074 parsing input with scanf in c 我在接受的答案中看到了这样的说法大多数转换说明符会跳过前导空格包括换行符但是 c才
使用 jQuery 切换类

当用户单击链接时我需要隐藏 div html 是这样的 div class item div class entry Lorem ipsum div a href class commentsToggle Show hide commen
Ionic - 如何设置高度，以便它在所有分辨率设备中自动调整？

我的代码如下
如何在关闭时完全删除对话框

当 ajax 操作失败时我创建一个包含错误的新 div 然后将其显示为对话框当对话框关闭时我想完全销毁并再次删除 div 我怎样才能做到这一点我的代码目前看起来像这样 div We failed div dialog title E
在Java中查找数组中的元素

Java 是否有内置函数允许我线性搜索数组中的元素还是必须只使用 for 循环有一个contains列表的方法所以你应该能够这样做 Arrays asList yourArray contains yourObject 警告这可能不
Flutter - 英雄动画不适用于选项卡导航器

我是颤振新手我正在使用英雄小部件为浮动按钮制作动画我有底部导航我必须使用选项卡导航器打开页面但英雄动画不起作用我使用了所有可能的解决方案但英雄动画仍然不适用于页面路由这是我的代码片段 FloatingActionButton
无法删除全局包

尝试删除全局包但似乎没有删除它 eslint v v1 10 3 npm uninstall eslint g sudo npm uninstall eslint g eslint v v1 10 3 sudo eslint v v1 1
如何使用之前输入的值填充自定义结帐字段，例如默认的 WooCommerce 结帐字段？

我使用以下代码添加了一个自定义字段 add action woocommerce before order notes bbloomer add custom checkout field function bbloomer add cus
在python中读取15M行csv文件的有效方法

对于我的应用程序我需要读取多个文件每个文件有 15 M 行将它们存储在 DataFrame 中并将 DataFrame 保存为 HDFS5 格式我已经尝试过不同的方法特别是具有 chunksize 和 dtype 规范的 pan
获取调用者类

我正在编写 Logger 并在自动添加类名时遇到问题我从中调用了 print log 方法例如这样的事情 class Logger def self print log string puts Time now strftime T c
美国电话号码验证

我有一个网站表单需要输入美国电话号码以供后续使用在这种情况下这是非常有必要的我想尝试消除用户输入垃圾数据330 000 0000 我已经看到了第三方为您验证电话号码的一些选项但是我不知道这是否是这种情况的最佳选择但是如果您使用过
PyQt 项目视图自定义拖放

我正在 QTableView 中进行自定义拖放实现当我拖动一个单元格并将其放在另一个单元格上时我想根据拖动的内容和放置的位置手动更改模型中的一些数据我怎样才能做到这一点我已经阅读了所有 Qt 文档但我完全迷失了特别是通过拖放 C
Couchbase 中的存储桶密码

我正在创建一个使用 springboot 和 Couchbase 进行反应式编程的演示项目我在 application properties 文件中设置了以下属性 spring couchbase bootstrap hosts loca
APK 0（零）设备兼容性

我正在生成一个要在商店上发布的 APK 它是现有应用程序的更新上传到 Google Play Console 后支持的 Android 设备 0 台设备这是我的清单
vue js如何使用方法将数据从父组件、v-for循环列表传递到子组件

我试图实现在子组件模态组件中显示每个项目收据数组的项目列表但一直无法这样做方法display receipts 是将receipts modal的数据值改为true 我可以在哪里放置 v bind 来传递数组任何帮助深表感谢 Pa
使用networkx从图中删除边

我正在尝试转换DiGraph成n叉树并按层序或BFS显示节点我的树与此类似但更大为简单起见使用以下示例 G networkx DiGraph G add edges from n n1 n n2 n n3 G add edges f
是否可以使用服务帐户访问Provisioning API？

我的服务帐户范围是 https apps apis google com a feeds user https apps apis google com a feeds user 和 DriveScope DRIVE 我在我的服务帐户 ID

是否可以使用服务帐户访问Provisioning API？

是否可以使用服务帐户访问Provisioning API？ 的相关文章

随机推荐

热门标签

是否可以使用服务帐户访问Provisioning API？的相关文章