本文旨在解决Python调用Google Apps Script时遇到的重复认证问题,详细介绍了如何通过管理token.json文件实现持久化认证。通过存储和刷新OAuth 2.0凭据,开发者可以构建无需人工干预的自动化流程,从而确保Python脚本能够无缝执行Google Apps Script宏,提升自动化部署的效率和可靠性。
在构建基于Python与Google服务(特别是Google Apps Script)的自动化解决方案时,开发者常会遇到一个挑战:每次运行脚本时,系统都要求用户进行浏览器认证。这对于需要端到端自动化、无人值守执行的场景来说,是一个巨大的障碍。本教程将详细阐述如何通过妥善管理OAuth 2.0认证凭据,实现Python脚本对Google Apps Script的无感(非交互式)调用。
理解重复认证的根源
Python通过Google API客户端库与Google服务交互时,通常采用OAuth 2.0协议进行身份验证和授权。首次运行时,google_auth_oauthlib库会引导用户在浏览器中完成授权流程,生成一个访问令牌(Access Token)和一个刷新令牌(Refresh Token)。访问令牌具有较短的有效期(通常为1小时),过期后需要重新获取。如果每次脚本运行时都重新执行完整的OAuth 2.0认证流程,就会导致重复的浏览器认证弹窗,从而阻碍自动化。
要实现无感认证,核心在于持久化存储首次认证后获得的凭据,并在访问令牌过期时,利用刷新令牌自动获取新的访问令牌,而无需用户再次手动干预。
核心解决方案:持久化认证令牌
解决重复认证问题的关键在于使用一个token.json文件来持久化存储用户的OAuth 2.0凭据。这个文件会保存访问令牌、刷新令牌、令牌类型以及过期时间等信息。当脚本再次运行时:
立即学习“Python免费学习笔记(深入)”;
它会首先检查token.json文件是否存在并尝试从中加载凭据。如果凭据存在且有效,则直接使用。如果凭据已过期但包含有效的刷新令牌,脚本将自动使用刷新令牌向Google授权服务器请求新的访问令牌。如果token.json不存在或凭据无效且无法刷新,脚本才会启动完整的OAuth 2.0认证流程,引导用户在浏览器中完成授权,并将新获得的凭据保存到token.json中,以供后续使用。
通过这种机制,只有在首次运行或刷新令牌失效(例如用户撤销了授权)时才需要手动认证,极大地方便了自动化部署。
实现步骤与代码示例
前提准备
在编写Python代码之前,请确保完成以下准备工作:
Google Cloud Project设置:在Google Cloud Console中创建一个新的项目或使用现有项目。启用以下API:Google Drive API、Google Sheets API、Google Apps Script API。OAuth 2.0客户端ID:在Google Cloud Console中,导航到“API和服务” -> “凭据”。创建一个“OAuth客户端ID”,应用类型选择“桌面应用”。下载生成的credentials.json文件,并将其放置在Python脚本的同一目录下。Google Apps Script部署:在Google Apps Script项目中,编写你想要通过Python调用的函数(例如helloWorld)。部署Apps Script项目为“API可执行文件”(Deploy -> New deployment -> Select type: API Executable)。记录下部署后获得的“Script ID”。安装Python库:使用pip安装所需的Google API客户端库:
pip install google-api-python-client google-auth-oauthlib google-auth-httplib2
Python代码实现
以下是实现持久化认证并调用Google Apps Script的Python代码示例:
import os.pathfrom google.auth.transport.requests import Requestfrom google.oauth2.credentials import Credentialsfrom google_auth_oauthlib.flow import InstalledAppFlowfrom googleapiclient import errorsfrom googleapiclient.discovery import build# 定义所需的API权限范围# 请根据你的Apps Script实际操作,选择最小化的权限集。# 过多的权限会增加安全风险,并可能导致用户在认证时犹豫。SCOPES = [ "https://www.googleapis.com/auth/script.projects", "https://www.googleapis.com/auth/script.external_request", "https://www.googleapis.com/auth/drive.readonly", "https://www.googleapis.com/auth/drive", "https://www.googleapis.com/auth/drive.scripts", "https://www.googleapis.com/auth/script.processes", "https://www.googleapis.com/auth/spreadsheets", "https://www.googleapis.com/auth/script.scriptapp",]def run_apps_script_with_persistent_auth(script_id: str, function_name: str): """ 使用持久化认证调用Google Apps Script API。 在首次运行时会进行浏览器认证并生成token.json,后续运行将自动加载和刷新令牌。 Args: script_id (str): 要执行的Google Apps Script项目的ID。 function_name (str): Apps Script中要调用的函数名称。 """ creds = None # 1. 尝试从token.json加载已存储的凭据 if os.path.exists("token.json"): creds = Credentials.from_authorized_user_file("token.json", SCOPES) # 2. 如果没有有效凭据,或者凭据已过期且可刷新,则进行认证或刷新 if not creds or not creds.valid: if creds and creds.expired and creds.refresh_token: # 凭据过期但有刷新令牌,尝试刷新 print("凭据已过期,尝试使用刷新令牌更新...") creds.refresh(Request()) else: # 没有有效凭据或无法刷新,启动新的认证流程 print("首次运行或刷新令牌失效,启动新的认证流程...") flow = InstalledAppFlow.from_client_secrets_file( "credentials.json", SCOPES ) creds = flow.run_local_server(port=0) # 在本地启动Web服务器进行认证 # 3. 将新的或刷新的凭据保存到token.json,以便后续使用 with open("token.json", "w") as token: token.write(creds.to_json()) print("凭据已保存/更新到 token.json。") try: # 4. 使用获取到的凭据构建Apps Script服务客户端 service = build("script", "v1", credentials=creds) # 5. 构建执行请求 request = {"function": function_name} # 6. 执行Apps Script函数 print(f"正在执行Apps Script函数: {function_name} (Script ID: {script_id})...") response = service.scripts().run(body=request, scriptId=script_id).execute() print("Apps Script函数执行成功。") # 可以根据需要处理Apps Script函数的返回值 if 'error' in response: print(f"Apps Script执行错误: {response['error']}") else: print(f"Apps Script函数返回值: {response.get('response', {}).get('result')}") except errors.HttpError as error: # 捕获API调用错误 print(f"调用Apps Script API时发生错误: {error.content}") except Exception as e: print(f"发生未知错误: {e}")# 示例用法if __name__ == "__main__": # 替换为你的实际Google Apps Script项目ID和要调用的函数名 my_script_id = "你的Google Apps Script项目ID" # 例如: AKfycbxtDnDYa2mTZKB6WoqK_D9PDsLZyqb7GQAh7pvER-K-rMFXYNa6oVOhzXHsyfyl8vLz my_function_name = "helloWorld" # Apps Script中的函数名 run_apps_script_with_persistent_auth(my_script_id, my_function_name)
代码解释
SCOPES: 定义了Python脚本访问Google API所需的权限范围。务必根据Apps Script的实际操作需求,选择最小化的权限集。例如,如果Apps Script只操作Google表格,那么https://www.googleapis.com/auth/spreadsheets就足够了,无需请求https://www.googleapis.com/auth/drive等更广泛的权限。os.path.exists(“token.json”): 检查当前目录下是否存在token.json文件。Credentials.from_authorized_user_file(“token.json”, SCOPES): 如果token.json存在,则尝试从中加载之前保存的凭据。creds.expired and creds.refresh_token: 判断加载的凭据是否已过期,并且是否包含可用于刷新的令牌。creds.refresh(Request()): 这是实现无感自动化的关键。它使用存储的刷新令牌向Google授权服务器请求新的访问令牌,整个过程无需用户干预。InstalledAppFlow.from_client_secrets_file(“credentials.json”, SCOPES): 如果没有可用的凭据或刷新令牌失效,此行代码会根据credentials.json启动新的OAuth 2.0认证流程。flow.run_local_server(port=0): 在本地机器上启动一个临时Web服务器,用于接收Google授权服务器的回调,完成认证过程。用户需要在浏览器中进行一次手动授权。with open(“token.json”, “w”) as token: token.write(creds.to_json()): 无论凭据是新获取的还是刷新的,都会将其序列化为JSON格式并保存到token.json文件中,以备下次使用。build(“script”, “v1”, credentials=creds): 使用获取到的有效凭据构建Google Apps Script API的服务客户端。service.scripts().run(body=request, scriptId=script_id).execute(): 调用Apps Script API,执行指定script_id中的function_name函数。
注意事项与最佳实践
权限范围(SCOPES)的精细化管理:始终遵循最小权限原则。只请求你的应用程序实际需要的权限,避免请求过宽的权限。这不仅提高了安全性,也减少了用户在授权时的顾虑。如果Apps Script只进行读操作,可以考虑使用只读权限,例如https://www.googleapis.com/auth/spreadsheets.readonly。credentials.json的安全保护:credentials.json文件包含你的客户端ID和客户端密钥,这些信息非常敏感。绝不能将其上传到公共代码仓库(如GitHub)。在生产环境中,应妥善保管此文件,并限制其访问权限。token.json的生命周期与刷新机制:刷新令牌通常是长期有效的,但并非永久有效。用户可以随时在Google账户设置中撤销对应用程序的授权。一旦撤销,刷新令牌将失效,脚本将再次要求用户进行手动认证。在极少数情况下,Google也可能出于安全原因使刷新令牌失效。首次运行时的手动认证:无论自动化程度多高,第一次运行或刷新令牌失效后,都需要用户在浏览器中手动完成一次认证过程。这是OAuth 2.0流的固有特性,确保用户明确授权。错误处理与日志记录:在生产环境中,应增加更完善的错误处理和日志记录机制。捕获googleapiclient.errors.HttpError可以帮助你了解API调用的具体问题。详细的日志记录有助于追踪脚本的执行状态和调试潜在问题。部署环境考虑:在无头(headless)服务器或容器(如Docker)环境中部署时,flow.run_local_server(port=0)可能无法正常工作,因为它需要一个可交互的浏览器环境。对于这种场景,你通常需要在开发环境中手动运行一次脚本,生成token.json文件,然后将这个token.json文件安全地部署到生产服务器上。对于更高级的自动化需求,可以考虑使用Google服务账户(Service Account),但服务账户的权限模型与用户授权有所不同,通常用于访问不需要特定用户身份的服务或数据。
总结
通过本文介绍的持久化认证方法,开发者可以有效地解决Python调用Google Apps Script时重复认证的问题。利用token.json文件存储和管理OAuth 2.0凭据,实现了访问令牌的自动刷新,从而构建了无需人工干预的自动化流程。这对于数据同步、报表生成、工作流自动化等场景至关重要,极大地提升了自动化解决方案的效率和可靠性。在实施过程中,务必关注权限管理和凭据安全,以确保系统的稳健运行。
以上就是Python调用Google Apps Script实现无感认证自动化教程的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1370956.html
微信扫一扫 
支付宝扫一扫 
