如何设置带有权限的Google服务帐户，以发送电子邮件以发送一个用户帐户（不是域名范围的代表团）

Question

在设置了一个特定项目的服务帐户中，该项目将其添加到启用API中的“ Gmail API”。

是否可以在Google Workspace帐户（不是每个帐户）上设置一个用户帐户之一的权限，以便该服务帐户只能发送该用户帐户的电子邮件？

Answer 1

服务帐户是无法访问各个用户数据的凭据。 SA只能通过域范围的委托访问每个用户的用户数据。换句话说，使用服务帐户是您需求的错误方法。

另一方面，客户ID是用于请求特定用户对用户拥有的数据访问的凭据。这是使用Google Workspace API（例如Gmail API）请求访问数据时使用的主要凭据。此凭据需要用户同意。但是，一旦获得了此同意，服务器应用程序就可以访问用户数据，而无需使用用户。这称为离线访问。

该同意采用访问令牌和刷新令牌的形式。您可以使用Google OAuth 2 API获取它们，并以相同的方式使用服务帐户使用它们。

Answer 2

要代表Google Workspace用户发送电子邮件，您需要将域范围内的授权委托给您的服务帐户。该服务帐户可以一次模仿不同的用户。因此，如果您想模仿一个用户，则没有问题，因为您在制作授权的API调用。

将DWD委派给服务帐户后，您将进行授权的API调用，并在其中指定用户的电子邮件地址以模仿。这意味着服务帐户仅可以从该应用程序中的特定帐户中访问数据。