Gradle Play Publisher插件迁移账号后403错误排查指南

问题背景

在使用Gradle Play Publisher插件进行Google Play应用迁移时，开发者可能会遇到一个特殊场景：插件能够成功发布应用到新账号，但在执行bootstrapReleaseListing命令时却返回403权限错误。这种情况通常发生在将应用从一个Google Play开发者账号迁移到另一个账号的过程中。

错误现象分析

当开发者运行bootstrapFlavorReleaseListing任务时，控制台会显示以下关键错误信息：

403 Forbidden
POST https://androidpublisher.googleapis.com/androidpublisher/v3/applications/com.app.and/edits
{
  "code": 403,
  "errors": [
    {
      "domain": "global",
      "message": "The caller does not have permission",
      "reason": "forbidden"
    }
  ],
  "message": "The caller does not have permission",
  "status": "PERMISSION_DENIED"
}

值得注意的是，虽然bootstrap操作失败，但实际发布操作却能成功执行，这表明权限配置在某种程度上是正确的，但存在特定限制。

根本原因

经过深入分析，这类问题通常源于以下两种情况：

1. 本地凭证问题：开发环境中的服务账号凭证可能没有正确更新或配置，导致本地执行bootstrap时无法通过验证。而CI/CD环境可能使用了不同的凭证配置。

2. API权限范围差异：bootstrap操作和发布操作可能调用不同的Google Play Developer API端点，需要的权限范围可能存在细微差别。

解决方案

1. 检查并更新本地凭证

首先确保本地开发环境使用了正确的服务账号JSON密钥文件：

• 确认密钥文件路径在build.gradle中正确配置
• 检查密钥文件是否来自新迁移的Google Play账号
• 验证密钥文件是否包含完整的权限集

2. 全面权限验证

虽然服务账号可能拥有"Owner"角色和"Android Management User"权限，但仍需确认：

• 在Google Play控制台中，服务账号必须被添加为"用户和权限"下的管理员
• 确保勾选了"管理商店信息"权限
• 检查是否启用了"Google Play Android Developer API"

3. 环境一致性检查

比较CI/CD环境与本地环境的配置差异：

• 对比两处使用的Gradle Play Publisher插件版本
• 检查环境变量设置（如GOOGLE_APPLICATION_CREDENTIALS）
• 确认gradle.properties中的配置参数是否一致

4. 缓存清理

有时Gradle缓存可能导致问题：

./gradlew clean
rm -rf ~/.gradle/caches/

最佳实践建议

1. 统一环境配置：确保开发、测试和生产环境使用相同的凭证管理方式
2. 权限最小化原则：不要过度授予权限，但确保必要的API访问权限
3. 版本控制：将服务账号凭证纳入版本控制（使用加密方式），避免环境差异
4. 日志记录：启用详细日志以获取更多调试信息

总结

Gradle Play Publisher插件在账号迁移后出现的403错误通常与环境配置相关而非插件本身问题。通过系统地检查凭证配置、权限设置和环境一致性，开发者可以快速解决这类问题。记住，在云服务集成中，环境差异往往是问题的主要来源，保持环境一致性是预防此类问题的关键。