使用PHP和Google Admin SDK列出用户所属群组：解决授权问题指南

本教程详细介绍了如何使用PHP和Google Admin SDK（Directory API）来获取Google Workspace用户所属的群组列表。文章聚焦于解决常见的“unauthorized_client”授权错误，并通过配置服务账号的域范围授权（Domain-Wide Delegation）、正确设置API Scope以及模拟域管理员身份（setSubject）来确保API调用的成功。通过清晰的步骤和代码示例，帮助开发者实现用户群组信息的程序化管理。

引言：使用PHP和Google Admin SDK管理用户群组

在Google Workspace环境中，管理员经常需要程序化地管理用户、群组、设备等资源。Google Admin SDK提供了一系列API，允许开发者通过代码实现这些管理功能。本教程将专注于如何利用PHP客户端库，结合Admin SDK的Directory API，来获取特定用户所属的群组列表。我们将特别关注在实现过程中可能遇到的授权问题，并提供一套完整的解决方案。

核心概念与前置条件

在开始编码之前，理解以下核心概念和完成必要的准备工作至关重要：

Google Workspace Domain-Wide Delegation (DWD)：DWD是Google Cloud平台的一项特性，允许服务账号（Service Account）代表Google Workspace域中的任何用户执行操作。这意味着，即使您的应用程序不是由特定用户直接授权的，它也可以在获得DWD授权后，以该用户的身份或管理员身份执行操作。这是访问Admin SDK的关键。

服务账号（Service Account）：服务账号是一种特殊的Google账号，用于服务器到服务器的交互，无需最终用户参与。它通过JSON密钥文件进行认证。

Admin SDK Directory API：这是Google Admin SDK的一部分，提供了管理用户、群组、组织单元等资源的接口。我们将使用其groups服务来查询群组信息。

所需权限（Scopes）：API调用需要相应的授权范围（Scopes）。对于获取用户群组列表，至少需要以下Scope：

https://www.googleapis.com/auth/admin.directory.group.readonly：只读访问群组信息。https://www.googleapis.com/auth/userinfo.email 和 https://www.googleapis.com/auth/userinfo.profile：用于获取当前认证用户的基本信息（如邮箱）。

准备工作：

立即学习“PHP免费学习笔记（深入）”；

启用Admin SDK API：在您的Google Cloud项目中，确保已启用Admin SDK API。创建服务账号与密钥：访问Google Cloud Console。导航到“IAM & 管理” youjiankuohaophpcn “服务账号”。创建一个新的服务账号。为该服务账号生成一个新的JSON密钥，并下载到您的项目目录中。配置服务账号的DWD：在Google Cloud Console的服务账号详情页，找到服务账号的唯一客户端ID。登录Google Workspace管理员控制台（admin.google.com）。导航到“安全性” > “API 控件” > “域范围委派”。添加新的API客户端，输入服务账号的客户端ID，并授权上述所需的API Scope（特别是 https://www.googleapis.com/auth/admin.directory.group.readonly）。Composer安装Google API客户端库：在您的PHP项目中，通过Composer安装Google API客户端库：

composer require google/apiclient:^2.0

登录后复制

PHP代码实现：获取用户群组列表

以下是实现获取用户群组列表的PHP代码示例，它结合了用户OAuth认证获取用户邮箱和通过服务账号进行Admin SDK调用的策略。

DubbingX智声云配

多情绪免费克隆AI音频工具

975 查看详情

步骤一：用户认证与信息获取

首先，我们需要通过标准的OAuth 2.0流程让用户登录，并获取其邮箱地址。这个邮箱将用于后续查询该用户所属的群组。

<?phprequire 'vendor/autoload.php'; // 根据您的项目路径调整// 创建新的Google客户端实例$client = new Google_Client();// 配置OAuth客户端凭据// 这些信息通常在Google Cloud Console的OAuth同意屏幕或凭据页面获取$client->setClientId('YOUR_CLIENT_ID.apps.googleusercontent.com'); // 替换为您的客户端ID$client->setClientSecret('YOUR_CLIENT_SECRET'); // 替换为您的客户端密钥$client->setRedirectUri('YOUR_REDIRECT_URL'); // 替换为您的重定向URL$client->setApplicationName("Your Application Name"); // 替换为您的应用名称// 添加获取用户邮箱和个人资料信息的Scope$client->addScope("https://www.googleapis.com/auth/userinfo.email");$client->addScope("https://www.googleapis.com/auth/userinfo.profile");// 仅为Admin SDK操作添加的Scope，这里先不添加，后面服务账号认证时再添加// $client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");$userEmail = '';// 处理OAuth回调if (isset($_GET['code'])) {    $token = $client->fetchAccessTokenWithAuthCode($_GET['code']);    if (!isset($token["error"])) {        $client->setAccessToken($token['access_token']);        // 获取用户个人资料信息        $google_oauth = new Google_Service_Oauth2($client);        $google_account_info = $google_oauth->userinfo->get();        $userEmail = $google_account_info->email;        echo "当前登录用户邮箱: " . $userEmail . "<br>";    } else {        echo "OAuth认证失败: " . $token["error_description"] . "<br>";    }} else {    // 如果没有认证码，则重定向到Google认证页面    $authUrl = $client->createAuthUrl();    echo "<a href='" . $authUrl . "'>点击此处登录Google</a>";    exit;}// ... 接下来是服务账号授权和群组查询?>

登录后复制

步骤二：服务账号授权与群组查询

在获取到用户邮箱后，我们将切换到服务账号的认证模式，并利用域范围授权来查询该用户所属的群组。

<?php// ... (接上一步骤代码，确保 $userEmail 已被获取)if (!empty($userEmail)) {    // 重新配置客户端，使用服务账号进行认证    // 注意：这里我们重用了 $client 实例，但实际上可以创建新的实例以避免混淆    // 为了教程的简洁性，我们在此重用并覆盖了认证配置。    // 在生产环境中，可能需要更清晰的客户端管理。    // 设置服务账号的JSON密钥文件路径    $client->setAuthConfig('path/to/your/service-account-key.json'); // 替换为您的JSON密钥文件路径    // 设置要模拟的管理员邮箱。此邮箱必须是Google Workspace域内的管理员账号，    // 并且具有读取群组的权限。这是DWD的关键一步。    $client->setSubject('admin-user@yourdomain.com'); // 替换为您的域管理员邮箱    // 添加Admin SDK Directory API的只读Scope    // 注意：这个Scope必须在Google Workspace管理员控制台的DWD中授权给服务账号    $client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");    try {        // 实例化Google Directory服务        $service = new Google_Service_Directory($client);        // 配置查询参数：指定域和要查询的用户邮箱        $optParams = array(            'domain' => 'yourdomain.com', // 替换为您的Google Workspace域名            'userKey' => $userEmail      // 查询此用户所属的群组        );        // 调用listGroups方法获取群组列表        $googleGroups = $service->groups->listGroups($optParams);        $groups = $googleGroups->getGroups();        if (!empty($groups)) {            echo "<h2>用户 " . $userEmail . " 所属群组列表:</h2>";            echo "<ul>";            foreach ($groups as $group) {                echo "<li>" . $group->getName() . " (" . $group->getEmail() . ")</li>";            }            echo "</ul>";        } else {            echo "用户 " . $userEmail . " 未找到所属群组或无权限访问。<br>";        }    } catch (Google_Service_Exception $e) {        echo "获取群组时发生错误: " . $e->getMessage() . "<br>";        // 详细错误信息可能在 $e->getErrors() 中    } catch (Exception $e) {        echo "未知错误: " . $e->getMessage() . "<br>";    }} else {    echo "无法获取用户邮箱，请先完成OAuth认证。<br>";}?>

登录后复制

完整示例代码

将上述两个步骤的代码整合，形成一个完整的PHP脚本：

<?phprequire 'vendor/autoload.php';// --- 配置部分 ---$clientId = 'YOUR_CLIENT_ID.apps.googleusercontent.com'; // 替换为您的OAuth客户端ID$clientSecret = 'YOUR_CLIENT_SECRET'; // 替换为您的OAuth客户端密钥$redirectUri = 'YOUR_REDIRECT_URL'; // 替换为您的重定向URL (必须与Google Cloud Console中配置的一致)$appName = "My Google Group Lister"; // 替换为您的应用名称$serviceAccountKeyPath = 'path/to/your/service-account-key.json'; // 替换为您的服务账号JSON密钥文件路径$adminImpersonationEmail = 'admin-user@yourdomain.com'; // 替换为具有群组读取权限的域管理员邮箱$googleWorkspaceDomain = 'yourdomain.com'; // 替换为您的Google Workspace域名// --- 配置部分结束 ---// 创建Google客户端实例$client = new Google_Client();$client->setApplicationName($appName);$userEmail = '';// --- 步骤一：用户认证与信息获取 ---// 用于获取当前登录用户的邮箱，以便后续查询其群组$client->setClientId($clientId);$client->setClientSecret($clientSecret);$client->setRedirectUri($redirectUri);$client->addScope("https://www.googleapis.com/auth/userinfo.email");$client->addScope("https://www.googleapis.com/auth/userinfo.profile");if (isset($_GET['code'])) {    $token = $client->fetchAccessTokenWithAuthCode($_GET['code']);    if (!isset($token["error"])) {        $client->setAccessToken($token['access_access_token']);        $google_oauth = new Google_Service_Oauth2($client);        $google_account_info = $google_oauth->userinfo->get();        $userEmail = $google_account_info->email;        echo "当前登录用户邮箱: " . htmlspecialchars($userEmail) . "<br>";        // --- 步骤二：服务账号授权与群组查询 ---        // 重新配置客户端，使用服务账号进行认证，以执行Admin SDK操作        $client->setAuthConfig($serviceAccountKeyPath);        $client->setSubject($adminImpersonationEmail); // 模拟域管理员        // 确保服务账号已通过DWD授权此Scope        $client->addScope("https://www.googleapis.com/auth/admin.directory.group.readonly");        try {            $service = new Google_Service_Directory($client);            $optParams = array(                'domain' => $googleWorkspaceDomain,                'userKey' => $userEmail            );            $googleGroups = $service->groups->listGroups($optParams);            $groups = $googleGroups->getGroups();            if (!empty($groups)) {                echo "<h2>用户 " . htmlspecialchars($userEmail) . " 所属群组列表:</h2>";                echo "<ul>";                foreach ($groups as $group) {                    echo "<li>" . htmlspecialchars($group->getName()) . " (" . htmlspecialchars($group->getEmail()) . ")</li>";                }                echo "</ul>";            } else {                echo "用户 " . htmlspecialchars($userEmail) . " 未找到所属群组或无权限访问。<br>";            }        } catch (Google_Service_Exception $e) {            echo "获取群组时发生API错误: " . htmlspecialchars($e->getMessage()) . "<br>";            // 更多错误信息: print_r($e->getErrors());        } catch (Exception $e) {            echo "发生未知错误: " . htmlspecialchars($e->getMessage()) . "<br>";        }    } else {        echo "OAuth认证失败: " . htmlspecialchars($token["error_description"]) . "<br>";    }} else {    // 如果没有认证码，则生成认证URL并重定向    $authUrl = $client->createAuthUrl();    echo "<p><a href='" . htmlspecialchars($authUrl) . "'>点击此处登录Google并授权</a></p>";}?>

登录后复制

注意事项与常见问题解决

unauthorized_client 错误解析：这个错误通常表示您的客户端没有足够的权限执行请求的操作。针对本教程的场景，最常见的原因是：

服务账号未配置DWD：确保服务账号的客户端ID已在Google Workspace管理员控制台的“域范围委派”中添加，并授权了所有必要的Scope（特别是 https://www.googleapis.com/auth/admin.directory.group.readonly）。setSubject 邮箱不正确或无权限：setSubject 中指定的邮箱必须是您的Google Workspace域内的管理员账号，并且该管理员账号本身拥有读取群组的权限。如果模拟的用户没有权限，即使服务账号有DWD，操作也会失败。JSON密钥文件路径错误或文件损坏：确保 setAuthConfig() 指向正确的服务账号JSON密钥文件。Scope缺失或不匹配：确保 addScope() 中添加的Scope与DWD中授权给服务账号的Scope完全一致。

setSubject 的作用：$client->setSubject('admin-user@yourdomain.com'); 这一行是DWD的核心。它告诉Google API客户端，服务账号将代表 admin-user@yourdomain.com 这个用户执行后续操作。因此，admin-user@yourdomain.com 必须是一个实际存在的、具有相应权限的域内管理员账号。

Scope的正确使用：

用于用户OAuth认证的Scope（如 userinfo.email）与用于服务账号DWD的Admin SDK Scope（如 admin.directory.group.readonly）是不同的。确保在相应阶段添加正确的Scope。请记住，即使代码中添加了Scope，最终的权限仍然受限于Google Workspace管理员控制台中为服务账号配置的DWD。

JSON密钥文件的安全性：服务账号的JSON密钥文件包含敏感凭据，应像对待密码一样妥善保管。不要将其上传到公共代码仓库，并确保服务器上的文件权限设置正确，仅限应用程序访问。

API速率限制：Google API对请求有速率限制。在进行大量查询时，请注意处理API响应中的错误（如429 Too Many Requests），并实现适当的重试机制和退避策略。

总结

通过本教程，我们学习了如何利用PHP和Google Admin SDK（Directory API）来获取Google Workspace用户的群组列表。成功的关键在于正确配置服务账号的域范围授权，确保所需的API Scope已在Google Workspace管理员控制台授权，并在代码中通过 setAuthConfig() 加载服务账号密钥并通过 setSubject() 模拟具有相应权限的域管理员。遵循这些步骤，可以有效解决常见的授权问题，实现对Google Workspace资源的程序化管理。

以上就是使用PHP和Google Admin SDK列出用户所属群组：解决授权问题指南的详细内容，更多请关注php中文网其它相关文章！