lar*_*kma 6 email google-apps node.js google-oauth nodemailer
我正在创建一个Twitter机器人,我正在实现一种方法,如果出现错误,会向我发送电子邮件.由于我已经使用谷歌API访问谷歌硬盘(这里没有问题),我决定使用服务帐户发送电子邮件(谷歌控制台说它可以这样使用)
我到目前为止发送电子邮件的方法是:
var config = require('./config/mail');
var google = require('./config/google');
var nodemailer = require('nodemailer');
var send = function (args) {
let transporter = nodemailer.createTransport({
'service': 'gmail',
'auth': {
'type': 'OAuth2',
'user': google.client_email,
'serviceClient': google.client_id,
'privateKey': google.private_key
}
});
transporter.on('token', token => console.log(token));
let message = {
'from': `"${config.serverFromName}" <${config.serverFromMail}>`,
'to': args.to,
'subject': args.subject,
'text': args.text,
'html': `<p>${args.text}</p>`
};
transporter.sendMail(message, (err, info) => {
if (err) {
console.log('Mail couldn\'t be sent because: ' + err);
} else {
console.log('Mail sent');
}
});
};
该config/google文件包含Google在您创建服务帐户时为您生成的数据.config.serverFromName并且config.serverFromMail是发件人的姓名和电子邮件(与服务帐户ID不同).args包含配方电子邮件和内容
当我测试send方法时,我在控制台中收到以下消息:
Mail couldn't be sent because: Error: Invalid login: 535-5.7.8 Username and Password not accepted. Learn more at
535 5.7.8 https://support.google.com/mail/?p=BadCredentials z123sm543690vkd.10 - gsmtp
我知道令牌正在被正确创建,因为我创建的监听器正在打印它:
{ user: 'name@project.iam.gserviceaccount.com',
accessToken: 'ya29.ElmIBLxzfU_kkuZeyISeuRBeljmAe7HNTlwuG4K12ysUNo46s-eJ8NkMYHQqD_JrqTlH3yheNc2Aopu9B5vw-ivEqvPR4sTDpWBOg3xUU_4XiJEBLno8FHsg',
expires: 1500151434603 }
在互联网上搜索我发现它可能是OAuth范围的问题.但是,所有涉及它的信息都是指使用客户端ID,而不是服务帐户.我也没有在Google开发者控制台中找到该选项.
我做错了什么想法?
底线:Google 描述服务帐户的具体方式与 nodemailer 不兼容。但是有办法!
我刚刚花了无数个小时来解决同样的问题!我得出的结论是,Google 的 Admin Console 间接删除了一半的此功能。控制台不提供在第一次使用服务帐户授权(用户接受同意屏幕)所需范围的方法。
首先,按照Google Drive API的Node.JS 快速入门说明授权范围并接收刷新令牌。
转到console.developers.google.com,构建 OAuth2.0 Client Id,并下载 client_secret.json 文件。
创建一个单独的临时模块文件夹并使用 NPM 下载 google api 模块
npm 安装 googleapis
npm 安装 google-auth-library
创建一个 quickstart.js 文件
将您的 client_secret.json 文件放在 quickstart.js 旁边
quickstart.js 中的第 7 行是用于定义您打算允许应用程序访问的范围的数组。根据您的需要修改它。强烈建议仅为预期内容提供访问权限。请参阅Gmail API 范围。
跑 node quickstart.js
在浏览器中打开 URL,进行身份验证,然后将代码从浏览器复制回终端窗口。这将下载一个 nodejs-gmail-quickstart.json 文件,该文件的位置将在stdout 中提供。
这是您无法为服务帐户完成的部分。此操作将 SCOPES 数组中提供的范围授权给下载的 access_token 和刷新令牌。
注意:access_token 的生命周期为 1 小时。refresh_token 是不朽的。
现在你有一个授权的 refresh_token!接下来是在Nodemailer 中使用 3LO 设置您的身份验证对象。我会更多地查看底部示例,因为并非所有值都是必需的。我的身份验证如下所示:
const mailbot = nodemailer.createTransport({
host: 'smtp.gmail.com',
port: 587, // TLS (google requires this port for TLS)
secure: false, // Not SSL
requireTLS: true, // Uses STARTTLS command (nodemailer-ism)
auth: {
// **HIGHLY RECOMMEND** ALL values be
// read in from a file not placed directly in code.
// Make sure that file is locked down to only the server daemon
type : 'OAuth2',
user : config.client_email,
scope : "https://www.googleapis.com/auth/gmail.send",
clientId : config.client_id,
clientSecret: secret,
refreshToken: activeToken.refresh_token
// AT RUNTIME, it looks like this:
//type : 'OAuth2',
//user : 'user@gmail.com', // actual user being impersonated
//scope : "", //Optional, but recommend to define for the action intended
//clientId : '888888888998-9xx9x99xx9x99xx9xxxx9xx9xx9x88x8xxx.apps.googleusercontent.com',
//clientSecret: 'XxxxxXXxX0xxxxxxxx0XXxX0',
//refreshToken: '1/XXxXxsss-xxxXXXXXxXxx0XXXxxXXx0x00xxx'
}
});
提示: Gmail 将从使用授权用户帐户(模拟用户)发送的任何电子邮件中重写“发件人”字段。如果您想稍微自定义一下,请使用语法{ FROM: '"Display NAME" <user email>' },它不会覆盖您的显示名称选择,因为电子邮件匹配。
注意:nodemailer 将使用刷新令牌向https://accounts.google.com/o/oauth2/token发出令牌请求,以自动获取 access_token。
不幸的是,nodemailer 缺乏将接收到的令牌直接保存到文件的功能,而只是使用 this.emit()。如果服务器保持活动状态,则不会有问题,但由于我的只是突发,因此每次都会请求新的 access_token ,因此总是会产生延迟。
[安全]希望这对你有用!失去使用 2LO 的服务帐户带来的私钥加密令人失望,但至少这种 Client ID 方式很难被欺骗。我担心安全性,但阅读更多我对这个实现没问题。请参阅Google Identity Platform(Nodemailer 使用 HTTP/REST 详细信息)并给出
[1] Google 的 OAuth 2.0 端点位于 https://accounts.google.com/o/oauth2/v2/auth。此端点只能通过 HTTPS 访问。拒绝普通 HTTP 连接。
[5] Web 服务器收到授权码后,可以将授权码交换为访问令牌。
您最初使用 TLS 连接授权码,然后将其与您的客户端 ID 数据和 refresh_token(您必须经历我们上面所做的麻烦)进行匹配,然后您可以收到一个 access_token 以实际与 Google API 交互。
只要您通过将 OAuth2.0 客户端 ID(高度随机的用户名)、机密和刷新令牌尽可能地分开、安全和隐藏来提高安全性,您应该可以安然入睡。 祝你好运!
| 归档时间: |
|
| 查看次数: |
2163 次 |
| 最近记录: |