Python服务账户创建Google表格后的权限管理：解决访问受限问题-Python教程-PHP中文网

Python服务账户创建Google表格后的权限管理：解决访问受限问题

DDD

发布： 2025-07-23 14:58:21

原创

675人浏览过

Python服务账户创建Google表格后的权限管理：解决访问受限问题

本教程旨在解决使用Python服务账户通过gspread_asyncio创建Google表格后，其他用户无法访问的权限问题。文章将详细指导如何利用Google Drive API，在表格创建后，以编程方式为指定用户或群组授予读写权限，确保生成的表格可被预期用户正常访问和编辑。

理解问题：服务账户与文件权限

当您使用google服务账户（service account）通过python库（如gspread_asyncio）创建google表格时，该表格的所有权默认归属于您的服务账户。这意味着，即使表格被成功创建并返回了链接，您的个人google账户或其他指定用户也无法直接访问或编辑它，因为他们没有被明确授予相应的权限。gspread库本身主要关注表格内容的读写操作，并不直接提供文件层面的共享权限管理功能。要解决此问题，我们需要借助google drive api来显式地设置文件共享权限。

前提条件与API启用

在开始之前，请确保您已完成以下准备工作：

Google Cloud 项目： 在Google Cloud Console中创建一个项目。
服务账户： 在该项目中创建并下载一个服务账户的JSON密钥文件。该服务账户将用于认证API请求。
API 启用：
- 在Google Cloud Console中，确保已启用 Google Sheets API。
- 同样，确保已启用 Google Drive API。这是进行文件权限管理的关键API。

安装Python库：

pip install gspread-asyncio google-auth google-api-python-client

登录后复制

核心解决方案：使用Google Drive API设置权限

解决服务账户创建的Google表格权限问题的核心在于，在表格创建完成后，立即调用Google Drive API的permissions().create方法来为目标用户或群组添加访问权限。

以下是实现这一功能的完整Python代码示例：

from gspread_asyncio import AsyncioGspreadClientManager
import io
import csv
from google.oauth2 import service_account
from gspread.exceptions import SpreadsheetNotFound
from googleapiclient.discovery import build # 导入 build 函数

async def upload_file_to_gsheets_and_share(credentials_path, csv_string, spreadsheet_name, share_email):
    """
    上传CSV数据到Google表格，并将其共享给指定用户。

    Args:
        credentials_path (str): 服务账户JSON密钥文件的路径。
        csv_string (str): 包含CSV数据的字符串。
        spreadsheet_name (str): 要创建或打开的Google表格名称。
        share_email (str): 要共享表格的用户的电子邮件地址。

    Returns:
        str: 创建或打开的Google表格的URL，如果发生错误则返回None。
    """
    try:
        # 1. 认证服务账户并定义API范围
        credentials = service_account.Credentials.from_service_account_file(
            credentials_path,
            scopes=[
                'https://www.googleapis.com/auth/spreadsheets', # 读写Google表格
                'https://www.googleapis.com/auth/drive'        # 管理Google Drive文件（包括权限）
            ]
        )

        # 2. 初始化gspread_asyncio客户端
        agcm = AsyncioGspreadClientManager(lambda: credentials)
        gc_client = await agcm.authorize()

        # 3. 创建或打开Google表格
        try:
            spreadsheet = await gc_client.open(spreadsheet_name)
            print(f"已打开现有表格: {spreadsheet_name}")
        except SpreadsheetNotFound:
            spreadsheet = await gc_client.create(spreadsheet_name)
            print(f"已创建新表格: {spreadsheet_name}")

        # 4. 获取工作表并写入数据
        worksheet = await spreadsheet.get_worksheet(0)
        csv_file = io.StringIO(csv_string)
        reader = csv.reader(csv_file)
        values_list = list(reader)
        await worksheet.update('A1', values_list)
        print("数据已写入表格。")

        # 5. 初始化Google Drive API客户端
        # 使用相同的credentials，因为它们包含了对Drive API的权限
        drive_service = build('drive', 'v3', credentials=credentials)

        # 6. 定义并授予用户权限
        # 'role': 'writer' 允许用户编辑表格。服务账户不能将文件所有权转移给他人。
        user_permission = {
            'type': 'user',
            'role': 'writer',
            'emailAddress': share_email 
        }

        # 执行权限创建操作
        # fileId 是 Google 表格的 ID，可以通过 spreadsheet.id 获取
        permission_response = drive_service.permissions().create(
            fileId=spreadsheet.id,
            body=user_permission,
            fields='id', # 仅请求返回权限ID
            sendNotificationEmail=True # 可选：是否发送通知邮件给被共享用户
        ).execute()
        print(f"已成功授予 {share_email} 访问权限，权限ID: {permission_response.get('id')}")

        spreadsheet_url = spreadsheet.url
        return spreadsheet_url

    except Exception as error:
        print(f"发生错误: {error}")
        return None

# 示例用法 (在异步函数中调用)
async def main():
    credentials_path = 'path/to/your/service_account_key.json' # 替换为您的密钥文件路径
    csv_data = "Header1,Header2\nValue1,Value2\nValue3,Value4"
    spreadsheet_name = "MySharedGoogleSheet"
    target_email = "target_user@example.com" # 替换为要共享的用户的电子邮件地址

    sheet_url = await upload_file_to_gsheets_and_share(credentials_path, csv_data, spreadsheet_name, target_email)
    if sheet_url:
        print(f"Google表格已创建并共享: {sheet_url}")
    else:
        print("未能创建或共享Google表格。")

if __name__ == "__main__":
    import asyncio
    asyncio.run(main())

登录后复制

代码解析：

AI建筑知识问答

用人工智能ChatGPT帮你解答所有建筑问题

查看详情

立即学习“Python免费学习笔记（深入）”；

API Scope: 在service_account.Credentials中，除了https://www.googleapis.com/auth/spreadsheets（用于gspread操作表格）之外，务必包含https://www.googleapis.com/auth/drive。这个范围允许服务账户管理Google Drive中的文件，包括设置权限。
初始化Drive服务：
```
from googleapiclient.discovery import build
drive_service = build('drive', 'v3', credentials=credentials)
```
登录后复制
这里使用googleapiclient.discovery.build函数来创建Google Drive API的客户端服务对象。'drive'指定了API名称，'v3'指定了API版本。
定义权限体 (user_permission)：
- 'type': 指定权限类型。常见的有：
  - 'user': 共享给特定的Google用户（通过电子邮件地址）。
  - 'group': 共享给特定的Google群组（通过电子邮件地址）。
  - 'domain': 共享给特定Google Workspace域内的所有用户。
  - 'anyone': 共享给互联网上的任何人（无需登录）。
- 'role': 指定被共享者的权限级别：
  - 'reader': 仅可查看。
  - 'writer': 可查看和编辑。
  - 'commenter': 可查看和添加评论。
  - 注意： 服务账户不能将文件所有权转移给其他用户，因此'owner'角色通常不可用。
- 'emailAddress': 当type为'user'、'group'或'domain'时，需要提供对应的电子邮件地址或域名。
创建权限 (permissions().create)：
- fileId=spreadsheet.id: 这是最关键的部分。spreadsheet.id是从gspread库创建或打开的Google表格对象中获取的唯一标识符。
- body=user_permission: 传入之前定义的权限字典。
- fields='id': 优化API响应，只返回权限的ID。
- sendNotificationEmail=True: （可选）如果设置为True，Google会向被共享的用户发送一封通知邮件。

权限类型与角色详解

type 值	role 值	描述	emailAddress / domain 参数	示例用途
user	reader	特定用户可查看	用户的电子邮件地址	共享给同事查看报告
user	writer	特定用户可编辑	用户的电子邮件地址	共享给团队成员协作编辑
group	reader	特定Google群组的所有成员可查看	群组的电子邮件地址	共享给部门所有成员阅读文档
group	writer	特定Google群组的所有成员可编辑	群组的电子邮件地址	共享给项目组所有成员共同维护数据
domain	reader	特定Google Workspace域内的所有用户可查看	您的域名 (e.g., example.com)	共享给公司内部所有人查阅公告
domain	writer	特定Google Workspace域内的所有用户可编辑	您的域名 (e.g., example.com)	共享给公司内部所有人共同维护知识库
anyone	reader	互联网上的任何人（无需登录）可查看	不需指定	公开分享数据、嵌入网页
anyone	writer	互联网上的任何人（无需登录）可编辑 (谨慎使用！)	不需指定	极高风险，通常不推荐，除非有特殊公开编辑需求

注意事项与最佳实践

安全性考量：
- 在共享文件时，请始终遵循最小权限原则。只授予必要的权限（例如，如果只需要查看，则授予reader而非writer）。
- 避免不必要地使用'anyone'类型，尤其是'writer'角色，这会使您的数据面临风险。
- 对于敏感数据，应限制共享范围到特定的用户或群组。
API Scope 的重要性： 确保您的服务账户凭据中包含了https://www.googleapis.com/auth/drive范围。缺少此范围将导致权限管理操作失败。
错误处理： 在实际应用中，务必添加健壮的错误处理机制来捕获API调用可能产生的异常，例如网络问题、权限不足或无效的电子邮件地址。
撤销权限： 如果需要撤销已授予的权限，可以使用Google Drive API的permissions().delete()方法，通过fileId和permissionId来移除特定权限。
电子邮件地址有效性： 确保您共享的电子邮件地址是有效的Google账户。如果共享给一个非Google账户，用户可能需要先创建一个Google账户才能访问。
异步操作： 由于gspread_asyncio和Google Drive API的build函数通常在异步上下文中使用，请确保您的整个应用结构支持异步操作，例如使用asyncio.run()来启动主函数。

总结

通过上述方法，您可以有效地解决Python服务账户创建Google表格后，其他用户无法访问的权限问题。核心在于理解服务账户的文件所有权机制，并利用Google Drive API的permissions().create方法来编程化地管理文件共享权限。这使得自动化创建和分发Google表格变得更加灵活和实用，满足了不同用户对文件访问和协作的需求。

以上就是Python服务账户创建Google表格后的权限管理：解决访问受限问题的详细内容，更多请关注php中文网其它相关文章！