4

我们正在使用具有域范围授权的 Google API Ruby 客户端来更新用户的联系人,解析电子邮件以将它们与我们的数据库配对等。在 4 月 1 日之前一切正常,但是,从那时起我们得到了unauthorized_client错误响应。

Signet::AuthorizationError (Authorization failed.  Server message:)
{
  "error": "unauthorized_client",
  "error_description": "Client is unauthorized to retrieve access tokens using this method, or client not authorized for any of the scopes requested."
}

我已经尝试了什么?

我已经尝试更新google-api-ruby-clientgoogleauth宝石到最新版本。没有改变。

我还尝试(两次)生成新的服务帐户,为 DWD 启用它,并使用服务帐户的客户端 ID 在 G Suite 管理控制台中添加所需的范围。在管理控制台中添加范围后,我等待了 24 小时,但没有任何改变。

请注意,过去使用相同的设置一切正常。

最少的测试代码

这是引发错误的最小代码。

require 'googleauth'
require 'google/apis/gmail_v1'

creds = ENV['GOOGLE_SERVICE_ACCOUNT'] # JSON downloaded from cloud console
                                      # is saved in this ENV variable
creds_json = JSON.parse(creds)
creds_json_io = StringIO.new(creds_json.to_json)
auth = Google::Auth::ServiceAccountCredentials.make_creds(
  json_key_io: creds_json_io,
  scope: [Google::Apis::GmailV1::AUTH_GMAIL_MODIFY]
)
auth.sub = 'admin@slideslive.com' # without this line everything works fine
                                  # and I get the access token
auth.fetch_access_token

据我所知,我们正在根据可用的文档做所有事情。请问有人有什么建议吗?

更新

我还尝试在同一组织下创建一个新的 Google Cloud Platform 项目,只添加了服务帐户,但一切都保持不变。

4

1 回答 1

1

所以我终于弄清楚问题出在哪里了。在其他范围中,我还启用了这些:

http://www.google.com/m8/feeds/contacts/ 
http://www.google.com/m8/feeds/groups/

原来谷歌可能使它们无效,他们现在需要https而不是http.

如果他们提供更好的错误消息会很好,例如在 Google Admin Console 中授权时输入的范围无效。

我在尝试为与我用于服务帐户的范围相同的范围内授权普通 OAuth2 客户端 ID 时发现了错误。OAuth2 同意屏幕显示正确的错误消息。

更新

这是我为解决服务帐户错误而创建的清单:

  1. 检查是否为 Google Cloud Console 中的服务帐户启用了域范围委派。
  2. 检查您是否使用服务帐户的客户端 ID(而不是其电子邮件!)在 Google 管理控制台中输入了正确的范围。确保所有范围都有效!他们可能在其一生中变得无效。当您输入无效范围unauthorized_client时,即使对于有效范围,您也会在获取访问令牌时出错。
于 2019-04-11T19:47:08.037 回答