Python服务账号创建Google表格：解决用户无权限访问问题及权限管理实践

问题背景：服务账号与文件所有权

在使用gspread-asyncio等库通过google服务账号创建google表格时，一个常见的问题是，虽然表格成功创建并填充了数据，但其他用户（包括创建者本人使用的普通google账号）却无法访问或编辑该表格，提示“无权限”。

这背后的原因是，当服务账号创建文件时，该文件默认归属于该服务账号。服务账号是一个特殊的Google账号，通常用于服务器到服务器的交互，它不与普通用户的Google账号直接关联。因此，即使您是该服务账号所在Google Cloud项目的拥有者，您个人的Google账号也无法自动获得对服务账号创建的文件的访问权限。gspread-asyncio库主要负责表格的创建、读取和写入操作，但它不提供文件共享或权限管理的功能。要解决这个问题，我们需要借助Google Drive API来显式地为特定用户授予权限。

解决方案核心：整合Google Drive API进行权限管理

要实现对服务账号创建的Google表格进行权限管理，我们需要使用google-api-python-client库，它提供了与Google Drive API交互的能力。通过Drive API，我们可以针对特定文件ID添加、修改或删除权限。

核心步骤包括：

1. 构建Google Drive API客户端：使用服务账号凭据初始化Drive服务。
2. 定义权限规则：指定要共享的类型（用户、群组、域或公开）、角色（读者、评论者、编辑者）以及对应的邮箱地址（对于用户或群组）。
3. 执行权限创建操作：将定义的权限应用到目标Google表格文件上。

下面是集成权限管理功能的完整Python代码示例。

立即学习“Python免费学习笔记（深入）”；

完整代码示例

以下代码展示了如何将gspread-asyncio创建Google表格的功能与google-api-python-client的权限管理功能结合起来。

Runwayml（AI painting）

Runway 平台的文本生成图像AI工具

下载

from gspread_asyncio import AsyncioGspreadClientManager
import io
import csv
from google.oauth2 import service_account
from gspread.exceptions import SpreadsheetNotFound
from googleapiclient.discovery import build # 导入build函数

async def upload_file_to_gsheets_with_permissions(credentials_path: str, 
                                                  csv_string: str, 
                                                  spreadsheet_name: str,
                                                  share_email: str) -> str:
    """
    使用服务账号创建Google表格，填充数据，并为指定用户授予编辑权限。

    Args:
        credentials_path (str): 服务账号JSON凭据文件的路径。
        csv_string (str): 包含CSV数据的字符串。
        spreadsheet_name (str): 要创建或打开的Google表格的名称。
        share_email (str): 要共享表格的用户的电子邮件地址。

    Returns:
        str: 创建并共享后的Google表格的URL，如果操作失败则返回None。
    """
    try:
        # 1. 初始化Google服务账号凭据
        # 确保包含Google Drive API的完整访问权限范围
        credentials = service_account.Credentials.from_service_account_file(
            credentials_path,
            scopes=[
                'https://www.googleapis.com/auth/spreadsheets', # 读写Google表格
                'https://www.googleapis.com/auth/drive'        # 管理Google Drive文件和权限
            ]
        )

        # 2. 初始化gspread-asyncio客户端
        agcm = AsyncioGspreadClientManager(lambda: credentials)
        gc_client = await agcm.authorize()

        # 3. 创建或打开Google表格
        try:
            spreadsheet = await gc_client.open(spreadsheet_name)
            print(f"表格 '{spreadsheet_name}' 已存在，正在打开...")
        except SpreadsheetNotFound:
            spreadsheet = await gc_client.create(spreadsheet_name)
            print(f"表格 '{spreadsheet_name}' 不存在，正在创建...")

        # 获取第一个工作表
        worksheet = await spreadsheet.get_worksheet(0)

        # 4. 将CSV数据写入工作表
        csv_file = io.StringIO(csv_string)
        reader = csv.reader(csv_file)
        values_list = list(reader)
        await worksheet.update('A1', values_list)
        print(f"数据已成功写入表格 '{spreadsheet_name}'。")

        # 5. 使用Google Drive API管理权限
        # 异步创建并初始化Google Drive API客户端
        # 注意：build函数是同步的，但通常在异步函数内部调用是可接受的，
        # 因为它只在启动时执行一次。
        drive_service = build('drive', 'v3', credentials=credentials)

        # 定义新的权限
        # 'role': 'writer' 允许编辑，'reader' 允许只读，'commenter' 允许评论
        # 服务账号不能将自己设置为 'owner'，通常也无法将其他用户设置为 'owner'。
        user_permission = {
            'type': 'user',
            'role': 'writer',  # 授予编辑权限
            'emailAddress': share_email # 要共享的用户的邮箱地址
        }

        # 授予定义的权限
        # fileId 是Google表格的ID，可以通过 spreadsheet.id 获取
        # fields='id' 用于指定返回的字段，这里只需要权限的ID
        permission_result = drive_service.permissions().create(
            fileId=spreadsheet.id,
            body=user_permission,
            fields='id'
        ).execute()
        print(f"已成功为 '{share_email}' 授予编辑权限。权限ID: {permission_result.get('id')}")

        # 返回表格URL
        spreadsheet_url = spreadsheet.url
        return spreadsheet_url

    except Exception as error:
        print(f"发生错误: {error}")
        return None

# 示例调用 (请替换为您的实际路径和邮箱)
async def main():
    credentials_path = 'path/to/your/service_account_credentials.json' # 替换为您的凭据文件路径
    csv_data = "Header1,Header2\nValue1,Value2\nValue3,Value4"
    spreadsheet_name = "MyAutomatedReport"
    user_to_share_with = "your_user_email@example.com" # 替换为您希望共享的真实邮箱

    spreadsheet_link = await upload_file_to_gsheets_with_permissions(
        credentials_path, 
        csv_data, 
        spreadsheet_name, 
        user_to_share_with
    )

    if spreadsheet_link:
        print(f"Google表格已创建并共享: {spreadsheet_link}")
    else:
        print("未能创建或共享Google表格。")

if __name__ == "__main__":
    import asyncio
    asyncio.run(main())

重要注意事项

1. API Scope 配置：

   • 在初始化服务账号凭据时，确保scopes列表中包含'https://www.googleapis.com/auth/drive'。这个范围是管理Google Drive文件权限所必需的。如果只包含'https://www.googleapis.com/auth/spreadsheets'，则只能操作表格内容，无法进行权限管理。
   • 为了确保既能操作表格又能管理文件，建议同时包含'https://www.googleapis.com/auth/spreadsheets'和'https://www.googleapis.com/auth/drive'。

2. 服务账号角色与权限类型：

   • role：
     • 'reader'：只读权限。
     • 'writer'：编辑权限（包括读写）。
     • 'commenter'：评论权限。
     • 注意：服务账号通常不能将其他用户设置为文件的'owner'（所有者）。尝试这样做可能会导致权限错误。'writer'通常是满足大多数协作需求的最佳选择。
   • type：
     • 'user'：共享给单个用户（通过emailAddress）。
     • 'group'：共享给Google群组（通过emailAddress）。
     • 'domain'：共享给Google Workspace域内的所有用户（通过domain）。
     • 'anyone'：公开共享（无需emailAddress，但存在安全风险，慎用）。

3. 安全性考量：

   • 在生产环境中，避免将share_email等敏感信息硬编码在代码中。考虑从配置文件、环境变量或数据库中动态读取。
   • 仔细评估共享的范围和权限级别。授予不必要的权限可能带来安全风险。

4. 错误处理：

   • 代码中包含了基本的try-except块来捕获潜在的API错误。在实际应用中，您可能需要更细致的错误处理，例如针对不同的googleapiclient.errors.HttpError进行处理。

5. 异步编程：

   • 由于使用了gspread-asyncio，整个函数被设计为异步函数（async def）。google-api-python-client的build函数是同步的，但其内部API调用（如create().execute()）是阻塞的。在异步环境中，这些阻塞调用会暂停当前协程，直到操作完成。对于API调用，这种模式通常是可接受的。

总结

通过整合Google Drive API到您的Python服务账号应用中，您可以完全控制服务账号创建的Google表格的共享权限。这不仅解决了用户无权限访问的问题，也为自动化工作流程中的文件协作提供了强大的支持。理解服务账号的文件所有权机制以及如何利用Drive API进行精细化权限管理，是构建健壮、安全的Google Cloud集成应用的关键。