@app-public/weaverbird-debug 1.0.0

package/README.md

@@ -0,0 +1,271 @@
+# WeaverBird CLI
+
+WeaverBird CI 开放 CLI，通过 OAuth 2.0 登录后访问 CI 平台 API。与 CI 流水线共用同一 OAuth 应用，凭证按环境配置在 `config/profiles/` 中。
+
+设计说明见飞书文档：[CI 系统 2.5 版本方案设计 — CI 开放 Cli 认证](https://vesync.feishu.cn/wiki/EJRjwbQJki7ozXkJOIZcvmppngd)
+
+## 环境要求
+
+- Node.js >= 16
+
+## 安装
+
+```bash
+cd cli
+npm install
+```
+
+全局联调（可选）：
+
+```bash
+npm link
+```
+
+或从 npm 安装（发布后，按环境选择包，scope 为 `@app-public`）：
+
+```bash
+npm install -g @app-public/weaverbird          # 线上（命令仍为 weaverbird）
+npm install -g @app-public/weaverbird-debug    # 本地调试
+npm install -g @app-public/weaverbird-test     # 测试环境
+```
+
+> scoped 包 `@app-public/weaverbird` 与公共 npm 上无 scope 的 `weaverbird`（Vue 查询构建器）是**不同包**，不会冲突。
+
+## CLI 命令
+
+```bash
+weaverbird cli login          # 线上（或对应环境的命令名）
+weaverbird-debug cli login    # 本地调试
+weaverbird-test cli login     # 测试环境
+weaverbird cli logout         # 清除当前环境本地 token
+weaverbird cli status         # 查询登录状态及 token 信息
+weaverbird cli --version      # 显示 CLI 版本号
+weaverbird cli --help         # 显示命令帮助
+```
+
+### login 流程
+
+1. 本地启动 `http://localhost:3333/callback` 回调服务
+2. CLI 调用 `POST /v1/api/ci/oauth/createAuthorizeSession` 创建**一次性、5 分钟有效**的授权会话
+3. 自动打开浏览器访问 `{WEAVERBIRD_URL}/weaverbird/oauth/authorize?session=...`（链接不可复制复用）
+4. 用户授权后回调带 `code`，CLI 调用 `POST /v1/api/ci/oauth/token` 换取 token
+5. token 写入 `~/.weaverbird/token.{env}.json`（如 `token.release.json`）
+
+### status 输出示例
+
+已登录：
+
+```json
+{
+  "logged_in": true,
+  "env": "debug",
+  "ci_base_url": "http://10.25.72.141:16644",
+  "token_path": "C:\\Users\\xxx\\.weaverbird\\token.debug.json",
+  "token": {
+    "access_token": "eyJxxx",
+    "token_type": "Bearer",
+    "expires_in": 7200,
+    "refresh_token": "xxx"
+  }
+}
+```
+
+未登录：
+
+```json
+{
+  "logged_in": false,
+  "env": "debug",
+  "ci_base_url": "http://10.25.72.141:16644",
+  "token_path": "C:\\Users\\xxx\\.weaverbird\\token.debug.json",
+  "token": null
+}
+```
+
+## 多环境配置
+
+CLI 通过**命令名**区分环境（`weaverbird` / `weaverbird-debug` / `weaverbird-test`），配置与后端 `core/config/config.py` 对齐，位于 `config/profiles/`：
+
+| 命令 | 环境 | `CI_BASE_URL`（SERVER_HOST） | `WEAVERBIRD_URL` |
+|------|------|------------------------------|------------------|
+| `weaverbird` | `release` | `https://apphost.vesync.cn` | `https://apphost.vesync.cn` |
+| `weaverbird-debug` | `debug` | `http://10.25.72.141:16644` | `http://10.25.72.141:18833` |
+| `weaverbird-test` | `test` | `http://192.168.10.191:16644` | `http://192.168.10.191:18833` |
+
+### 校验 profile
+
+```bash
+npm run config -- --env=release
+npm run config:debug
+npm run config:test
+npm run config:release
+```
+
+### 构建（profile 校验 + 语法检查 + 单元测试）
+
+```bash
+npm run build
+```
+
+### 发布
+
+发布前自动执行 `prepublishOnly`（构建与测试）。按环境发布为 **`@app-public` scope 下的独立包**（自动 `--access public`）：
+
+| 脚本 | npm 包名 | 全局命令 |
+|------|----------|----------|
+| `npm run publish:release` | `@app-public/weaverbird` | `weaverbird` |
+| `npm run publish:debug` | `@app-public/weaverbird-debug` | `weaverbird-debug` |
+| `npm run publish:test` | `@app-public/weaverbird-test` | `weaverbird-test` |
+| `npm run publish:all` | 依次发布以上三个包 | — |
+
+```bash
+npm run publish:release              # 发布线上包
+npm run publish:debug              # 发布调试包
+npm run publish:test               # 发布测试包
+npm run publish:all                # 一次性发布三个包（版本号需一致）
+
+# 透传 npm publish 参数
+npm run publish:release -- --dry-run
+npm run publish:test -- --tag beta
+```
+
+> 本地 `package.json` 为私有工作区包（`weaverbird-cli`，`private: true`），**不可直接 `npm publish`**。`publish:*` 脚本会临时改写为对应环境的独立包名与 bin，发布完成后自动还原。
+
+三个环境对应**三个不同的 scoped 包名**，互不影响、可独立发版：
+
+| 环境 | npm 包名 |
+|------|----------|
+| 线上 | `@app-public/weaverbird` |
+| 调试 | `@app-public/weaverbird-debug` |
+| 测试 | `@app-public/weaverbird-test` |
+
+## 运行时环境变量覆盖
+
+生成 `config.js` 在运行时按命令名加载 profile；仍可通过环境变量覆盖部分配置（便于本地调试）：
+
+| 变量 | 说明 |
+|------|------|
+| `WEAVERBIRD_ENV` | 环境标识（debug / test / release） |
+| `WEAVERBIRD_CI_URL` | CI API 根地址 |
+| `WEAVERBIRD_URL` | WeaverBird 前端地址 |
+| `WEAVERBIRD_CLIENT_ID` | OAuth 应用 ID |
+| `WEAVERBIRD_CLIENT_SECRET` | OAuth 应用密钥 |
+| `WEAVERBIRD_REDIRECT_URI` | OAuth 回调地址，默认 `http://localhost:3333/callback` |
+| `WEAVERBIRD_CALLBACK_PORT` | 本地回调端口，默认 `3333` |
+| `WEAVERBIRD_SCOPE` | OAuth scope，默认 `read write` |
+
+## OAuth 凭证配置
+
+凭证由服务端 **`oauth_client` 表**统一生成与管理（每个 PocketBase 库各一条应用记录）。环境不写在表里，而是通过 `core/config` 连接不同数据库（debug / test / release）自然隔离。
+
+CLI 侧在 `config/profiles/{debug,test,release}.js` 中配置各环境 API 地址，并从**对应环境数据库**初始化脚本输出的 `CLIENT_ID` / `CLIENT_SECRET` 填入 profile。
+
+### 初始化 WeaverBird CLI 应用
+
+在目标环境的 PocketBase 建好 `oauth_client` 表后，用对应环境启动脚本执行（与后端一致，如 `python main.py test` 或 `release`）：
+
+```bash
+python util/data_server_update/maintain_260615/main.py
+```
+
+每个数据库只会创建一条 `name=WeaverBird CLI` 的记录；首次创建时打印明文 `clientSecret`，写入该环境对应的 `cli/config/profiles/*.js`。
+
+**注意：** 不要将真实 `CLIENT_SECRET` 提交到公开仓库；CI/CD 发布时建议通过环境变量注入。
+
+## OAuth 客户端应用表（`oauth_client`）
+
+PocketBase 集合名：`oauth_client`
+
+| 字段 | 类型 | 必填 | 说明 |
+|------|------|------|------|
+| `name` | text | 是 | 应用名称，如 `WeaverBird CLI` |
+| `clientId` | text | 是 | OAuth `CLIENT_ID`，格式 `cli_` + 32 位 hex，**全局唯一** |
+| `clientSecret` | text | 是 | AES 加密存储的 `CLIENT_SECRET`，**不可明文回显** |
+| `redirectUris` | json | 是 | 允许的回调地址列表，默认 `["http://localhost:3333/callback"]` |
+| `scopes` | text | 是 | 授权范围，默认 `read write` |
+| `grantTypes` | json | 是 | 默认 `["authorization_code","refresh_token"]` |
+| `isInvalid` | bool | 否 | 是否禁用，默认 `false` |
+| `description` | text | 否 | 备注 |
+
+> **环境隔离**：不在表中存 `env` / `key`。debug、test、release 各自连独立 PocketBase（见 `core/config/config.py` 的 `POCKETBASE_BASE_URL`），各库维护各自的 `oauth_client` 记录。
+
+### 凭证生成规则
+
+后端 `OAuthClientExtLogic`（`logic/ext/oauth_client.py`）：
+
+| 方法 | 说明 |
+|------|------|
+| `generate_client_id()` | `cli_{secrets.token_hex(16)}` |
+| `generate_client_secret()` | `secrets.token_urlsafe(32)` |
+| `create_oauth_client(name, ...)` | 创建应用，**仅返回时展示一次**明文 secret |
+| `create_or_get_weaverbird_cli()` | 若已有 `WeaverBird CLI` 则返回首条，否则新建 |
+| `get_by_client_id` | 按 clientId 查询（唯一键） |
+| `verify_client(client_id, secret)` | OAuth token 端校验客户端 |
+
+`clientSecret` 使用 `Encrypt.encrypt_with_salt` 加密，`salt` 为 `clientId`。
+
+### 与 CLI profile 的关系
+
+| 后端环境（core/config） | PocketBase | CLI profile |
+|-------------------------|------------|-------------|
+| debug | `10.25.72.141:17760` | `config/profiles/debug.js` |
+| test | `192.168.10.191:17760` | `config/profiles/test.js` |
+| release | `apphost.vesync.cn` | `config/profiles/release.js` |
+
+各环境分别在对应库执行初始化脚本，将输出的凭证填入同名 profile 即可。
+
+### 关联表（OAuth 完整链路，后续实现）
+
+| 表名 | 用途 |
+|------|------|
+| `oauth_authorization_code` | 授权码：`code`、`clientId`、`userId`、`redirectUri`、`scope`、`expiresTime`（兑换后删除） |
+| `oauth_access_token` | 访问令牌：可复用现有 `token` 表扩展，或独立存储 `accessToken`、`refreshToken`、`clientId`、`userId`、`expiresAt` |
+
+## 目录结构
+
+```
+cli/
+├── index.js              # CLI 入口（bin: weaverbird / weaverbird-debug / weaverbird-test）
+├── config.js             # 运行时按命令名加载 profile
+├── config/
+│   └── profiles/         # 各环境 profile（与 core/config 对齐）
+├── login.js              # OAuth 登录逻辑
+├── tokenStore.js         # ~/.weaverbird/token.json 读写
+├── api.js                # Bearer 请求与 refresh_token 刷新
+├── scripts/
+│   ├── build-config.js   # 校验 profile
+│   ├── run-build.js      # build 入口
+│   └── run-publish.js    # 按环境发布 npm 包
+├── test/
+└── package.json
+```
+
+## 开发
+
+```bash
+npm run build             # 完整构建
+npm run publish:release   # 发布线上包（示例）
+```
+
+## 后端依赖
+
+CLI 依赖服务端 OAuth 接口（均为 POST JSON，响应格式与项目统一 `{ code, msg, data }`）：
+
+| 接口 | 说明 |
+|------|------|
+| `/v1/api/ci/oauth/createOauthClient` | 管理员创建 OAuth 应用（header `token`） |
+| `/v1/api/ci/oauth/createAuthorizeSession` | CLI 创建授权页一次性会话（需 client_secret） |
+| `/v1/api/ci/oauth/getAuthorizeSession` | Web 查询授权会话状态（pending/expired/invalid） |
+| `/v1/api/ci/oauth/authorize` | 签发 authorization code（需 session_token + header `token`） |
+| `/v1/api/ci/oauth/token` | 换取/刷新 access_token |
+
+授权页由前端 `{WEAVERBIRD_URL}/weaverbird/oauth/authorize?session=...` 实现；会话 **5 分钟过期、一次性使用**，过期或已用后 Web 会拦截并提示重新执行 `weaverbird cli login`。
+
+业务 API 请求头：`cli_token` header（OAuth 换取的 access_token，与网页 `token` 独立）。
+
+### PocketBase 需创建的表
+
+- `oauth_client` — OAuth 应用
+- `oauth_authorize_session` — 授权页会话（字段：sessionToken, clientId, redirectUri, responseType, scope, state, expiresTime；使用后删除）
+- `oauth_authorization_code` — 授权码（字段：code, clientId, userId, redirectUri, scope, expiresTime；兑换后删除）
+- `oauth_refresh_token` — 刷新令牌（字段：refreshToken, clientId, userId, scope, expiresTime, isInvalid）

package/api.js

@@ -0,0 +1,61 @@
+const fetch = require('cross-fetch');
+const { CI_BASE_URL } = require('./config');
+const { getToken, saveToken } = require('./tokenStore');
+
+const OAUTH_TOKEN_PATH = '/v1/api/ci/oauth/token';
+
+async function refreshAccessToken(refreshToken) {
+  const { CLIENT_ID, CLIENT_SECRET } = require('./config');
+  const response = await fetch(`${CI_BASE_URL}${OAUTH_TOKEN_PATH}`, {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/json' },
+    body: JSON.stringify({
+      grant_type: 'refresh_token',
+      client_id: CLIENT_ID,
+      client_secret: CLIENT_SECRET,
+      refresh_token: refreshToken,
+    }),
+  });
+  const result = await response.json().catch(() => ({}));
+  if (result.code !== 200 || !result.data?.access_token) {
+    throw new Error(result.msg || '刷新 token 失败');
+  }
+  saveToken(result.data);
+  return result.data;
+}
+
+async function getValidAccessToken() {
+  const token = getToken();
+  if (!token?.access_token) {
+    throw new Error('未登录，请先执行 weaverbird cli login');
+  }
+  return token.access_token;
+}
+
+async function request(path, options = {}) {
+  const accessToken = await getValidAccessToken();
+  const url = path.startsWith('http') ? path : `${CI_BASE_URL}${path}`;
+  const response = await fetch(url, {
+    ...options,
+    headers: {
+      cli_token: accessToken,
+      'Content-Type': 'application/json',
+      ...(options.headers || {}),
+    },
+  });
+  const data = await response.json().catch(() => ({}));
+  if (response.status === 401 && getToken()?.refresh_token) {
+    await refreshAccessToken(getToken().refresh_token);
+    return request(path, options);
+  }
+  if (!response.ok) {
+    throw new Error(data.msg || data.message || response.statusText);
+  }
+  return data;
+}
+
+module.exports = {
+  request,
+  refreshAccessToken,
+  getValidAccessToken,
+};

package/bin/weaverbird-debug.js

@@ -0,0 +1,2 @@
+#!/usr/bin/env node
+require('../index.js');

package/bin/weaverbird-test.js

@@ -0,0 +1,2 @@
+#!/usr/bin/env node
+require('../index.js');

package/bin/weaverbird.js

@@ -0,0 +1,2 @@
+#!/usr/bin/env node
+require('../index.js');

package/cli-env.js

@@ -0,0 +1,29 @@
+const path = require('path');
+
+const BIN_ENV_MAP = {
+  weaverbird: 'release',
+  'weaverbird-debug': 'debug',
+  'weaverbird-test': 'test',
+};
+
+function resolveEnvFromBinary() {
+  const binName = path.basename(process.argv[1], path.extname(process.argv[1]));
+  if (BIN_ENV_MAP[binName]) {
+    return BIN_ENV_MAP[binName];
+  }
+  return 'debug';
+}
+
+function resolveScriptName() {
+  const binName = path.basename(process.argv[1], path.extname(process.argv[1]));
+  if (BIN_ENV_MAP[binName]) {
+    return binName;
+  }
+  return 'weaverbird';
+}
+
+module.exports = {
+  BIN_ENV_MAP,
+  resolveEnvFromBinary,
+  resolveScriptName,
+};

package/config/profiles/debug.js

@@ -0,0 +1,11 @@
+/** 与 core/config/config.py debug 环境对齐 */
+module.exports = {
+  ENV: 'debug',
+  CLIENT_ID: 'cli_e5040de23559805ab9f3cc33dbcf0615',
+  CLIENT_SECRET: 'ZyN7V0jheHk4iixRAiqndUSt-aAT1SGl-RrRhYOi1jI',
+  CI_BASE_URL: 'http://10.25.72.141:16644',
+  WEAVERBIRD_URL: 'http://10.25.72.141:18833',
+  REDIRECT_URI: 'http://localhost:3333/callback',
+  SCOPE: 'read write',
+  CALLBACK_PORT: 3333,
+};

package/config/profiles/release.js

@@ -0,0 +1,11 @@
+/** 与 core/config/config.py release 环境对齐 */
+module.exports = {
+  ENV: 'release',
+  CLIENT_ID: 'cli_weaverbird',
+  CLIENT_SECRET: '',
+  CI_BASE_URL: 'https://apphost.vesync.cn',
+  WEAVERBIRD_URL: 'https://apphost.vesync.cn',
+  REDIRECT_URI: 'http://localhost:3333/callback',
+  SCOPE: 'read write',
+  CALLBACK_PORT: 3333,
+};

package/config/profiles/test.js

@@ -0,0 +1,11 @@
+/** 与 core/config/config.py test 环境对齐 */
+module.exports = {
+  ENV: 'test',
+  CLIENT_ID: 'cli_weaverbird_test',
+  CLIENT_SECRET: '',
+  CI_BASE_URL: 'http://192.168.10.191:16644',
+  WEAVERBIRD_URL: 'http://192.168.10.191:18833',
+  REDIRECT_URI: 'http://localhost:3333/callback',
+  SCOPE: 'read write',
+  CALLBACK_PORT: 3333,
+};

package/config.js

@@ -0,0 +1,26 @@
+const path = require('path');
+const { resolveEnvFromBinary } = require('./cli-env');
+
+const VALID_ENVS = ['debug', 'test', 'release'];
+const env = process.env.WEAVERBIRD_ENV || resolveEnvFromBinary();
+
+if (!VALID_ENVS.includes(env)) {
+  throw new Error(`无效环境 "${env}"，可选：${VALID_ENVS.join(', ')}`);
+}
+
+const profile = require(path.join(__dirname, 'config', 'profiles', `${env}.js`));
+
+function stripTrailingSlash(url) {
+  return typeof url === 'string' ? url.replace(/\/$/, '') : url;
+}
+
+module.exports = {
+  ENV: env,
+  CLIENT_ID: process.env.WEAVERBIRD_CLIENT_ID || profile.CLIENT_ID,
+  CLIENT_SECRET: process.env.WEAVERBIRD_CLIENT_SECRET || profile.CLIENT_SECRET,
+  CI_BASE_URL: stripTrailingSlash(process.env.WEAVERBIRD_CI_URL || profile.CI_BASE_URL),
+  WEAVERBIRD_URL: stripTrailingSlash(process.env.WEAVERBIRD_URL || profile.WEAVERBIRD_URL),
+  REDIRECT_URI: process.env.WEAVERBIRD_REDIRECT_URI || profile.REDIRECT_URI,
+  SCOPE: process.env.WEAVERBIRD_SCOPE || profile.SCOPE,
+  CALLBACK_PORT: Number(process.env.WEAVERBIRD_CALLBACK_PORT || profile.CALLBACK_PORT),
+};

package/index.js

@@ -0,0 +1,72 @@
+#!/usr/bin/env node
+
+const yargs = require('yargs/yargs');
+const { hideBin } = require('yargs/helpers');
+const { startLogin } = require('./login');
+const { getToken, clearToken, getTokenPath } = require('./tokenStore');
+const { CI_BASE_URL, ENV } = require('./config');
+const { resolveScriptName } = require('./cli-env');
+const pkg = require('./package.json');
+
+const scriptName = resolveScriptName();
+
+function printStatus() {
+  const token = getToken();
+  const result = {
+    logged_in: !!(token && token.access_token),
+    env: ENV,
+    ci_base_url: CI_BASE_URL,
+    token_path: getTokenPath(),
+    token: token || null,
+  };
+  console.log(JSON.stringify(result, null, 2));
+}
+
+async function main() {
+  await yargs(hideBin(process.argv))
+    .scriptName(scriptName)
+    .usage('$0 <command> [options]')
+    .version(false)
+    .command(
+      'cli',
+      'Weaverbird CLI 子命令',
+      (yargs) =>
+        yargs
+          .version(pkg.version)
+          .command(
+            'login',
+            `浏览器 OAuth 登录，token 保存至 ~/.weaverbird/token.${ENV}.json`,
+            () => {},
+            async () => {
+              await startLogin();
+            }
+          )
+          .command(
+            'logout',
+            '清除本地 token',
+            () => {},
+            () => {
+              clearToken();
+              console.log('✅ 已退出登录');
+            }
+          )
+          .command(
+            'status',
+            '查询登录状态及 token 信息',
+            () => {},
+            () => {
+              printStatus();
+            }
+          )
+          .demandCommand(0)
+          .help()
+    )
+    .demandCommand(1, `请使用 ${scriptName} cli <command>，执行 ${scriptName} cli --help 查看帮助`)
+    .help()
+    .parseAsync();
+}
+
+main().catch((err) => {
+  console.error(`❌ ${err.message}`);
+  process.exit(1);
+});

package/login.js

@@ -0,0 +1,284 @@
+const express = require('express');
+const open = require('open');
+const fetch = require('cross-fetch');
+const {saveToken} = require('./tokenStore');
+const {
+    CLIENT_ID,
+    CLIENT_SECRET,
+    CI_BASE_URL,
+    WEAVERBIRD_URL,
+    REDIRECT_URI,
+    SCOPE,
+    CALLBACK_PORT,
+} = require('./config');
+
+const OAUTH_TOKEN_PATH = '/v1/api/ci/oauth/token';
+const CREATE_AUTHORIZE_SESSION_PATH = '/v1/api/ci/oauth/createAuthorizeSession';
+const LOGIN_TIMEOUT_MS = 5 * 60 * 1000;
+
+function escapeHtml(text) {
+  return String(text)
+    .replace(/&/g, '&')
+    .replace(/</g, '&lt;')
+    .replace(/>/g, '&gt;')
+    .replace(/"/g, '&quot;')
+    .replace(/'/g, '&#39;');
+}
+
+function renderCallbackPage({ type, title, message, hint }) {
+  const palette = {
+    success: { accent: '#2C2C30', badgeBg: '#E4E9EC', icon: '✓' },
+    error: { accent: '#16161A', badgeBg: '#F2F2F2', icon: '!' },
+  };
+  const theme = palette[type] || palette.error;
+  const safeTitle = escapeHtml(title);
+  const safeMessage = message ? escapeHtml(message) : '';
+  const safeHint = hint ? escapeHtml(hint) : '';
+
+  return `<!DOCTYPE html>
+<html lang="zh-CN">
+<head>
+  <meta charset="UTF-8" />
+  <meta name="viewport" content="width=device-width, initial-scale=1.0" />
+  <title>${safeTitle} · WeaverBird CLI</title>
+  <style>
+    * { box-sizing: border-box; margin: 0; padding: 0; }
+    body {
+      min-height: 100vh;
+      display: flex;
+      align-items: center;
+      justify-content: center;
+      padding: 24px;
+      font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, "Helvetica Neue", Arial, sans-serif;
+      background: #F8F9FA;
+      color: #16161A;
+    }
+    .card {
+      width: 100%;
+      max-width: 420px;
+      background: #FFFFFF;
+      border-radius: 8px;
+      padding: 40px 32px 32px;
+      text-align: center;
+      box-shadow: 0 2px 12px rgba(0, 0, 0, 0.05);
+      border: 1px solid #D7DDE4;
+    }
+    .badge {
+      width: 64px;
+      height: 64px;
+      margin: 0 auto 20px;
+      border-radius: 50%;
+      background: ${theme.badgeBg};
+      color: ${theme.accent};
+      display: flex;
+      align-items: center;
+      justify-content: center;
+      font-size: 28px;
+      font-weight: 600;
+      line-height: 1;
+      border: 1px solid #DDDDDD;
+    }
+    .brand {
+      font-size: 12px;
+      letter-spacing: 0.06em;
+      color: #999999;
+      margin-bottom: 8px;
+    }
+    h1 {
+      font-size: 22px;
+      font-weight: 600;
+      margin-bottom: 10px;
+      line-height: 1.35;
+      color: #16161A;
+    }
+    p {
+      font-size: 14px;
+      line-height: 1.6;
+      color: #555555;
+      word-break: break-word;
+    }
+    .hint {
+      margin-top: 24px;
+      padding-top: 20px;
+      border-top: 1px solid #D7DDE4;
+      font-size: 13px;
+      color: #999999;
+    }
+  </style>
+</head>
+<body>
+  <div class="card">
+    <div class="badge">${theme.icon}</div>
+    <div class="brand">WeaverBird CLI</div>
+    <h1>${safeTitle}</h1>
+    ${safeMessage ? `<p>${safeMessage}</p>` : ''}
+    ${safeHint ? `<div class="hint">${safeHint}</div>` : ''}
+  </div>
+</body>
+</html>`;
+}
+
+async function createAuthorizeSession(state) {
+    const response = await fetch(`${CI_BASE_URL}${CREATE_AUTHORIZE_SESSION_PATH}`, {
+        method: 'POST',
+        headers: {'Content-Type': 'application/json'},
+        body: JSON.stringify({
+            client_id: CLIENT_ID,
+            client_secret: CLIENT_SECRET,
+            redirect_uri: REDIRECT_URI,
+            response_type: 'code',
+            scope: SCOPE,
+            state,
+        }),
+    });
+    const result = await response.json().catch(() => ({}));
+    if (result.code !== 200 || !result.data?.session_token) {
+        throw new Error(result.msg || '创建授权会话失败');
+    }
+    return result.data.session_token;
+}
+
+function buildAuthorizeUrl(sessionToken) {
+    const params = new URLSearchParams({session: sessionToken});
+    return `${WEAVERBIRD_URL}/weaverbird/oauth/authorize?${params.toString()}`;
+}
+
+async function exchangeCodeForToken(code) {
+    const response = await fetch(`${CI_BASE_URL}${OAUTH_TOKEN_PATH}`, {
+        method: 'POST',
+        headers: {'Content-Type': 'application/json'},
+        body: JSON.stringify({
+            grant_type: 'authorization_code',
+            client_id: CLIENT_ID,
+            client_secret: CLIENT_SECRET,
+            redirect_uri: REDIRECT_URI,
+            code,
+        }),
+    });
+    const result = await response.json().catch(() => ({}));
+    if (result.code !== 200 || !result.data?.access_token) {
+        throw new Error(result.msg || '换取 token 失败');
+    }
+    return result.data;
+}
+
+async function startLogin() {
+    if (!CLIENT_SECRET) {
+        throw new Error(
+            '未配置 CLIENT_SECRET。请在 config.js 中填写，或设置环境变量 WEAVERBIRD_CLIENT_SECRET'
+        );
+    }
+
+    const state = Math.random().toString(36).slice(2);
+    const app = express();
+    let server;
+    let timer = null;
+    const done = new Promise((resolve, reject) => {
+        timer = setTimeout(() => {
+            reject(new Error('登录超时：未在 5 分钟内完成浏览器授权'));
+        }, LOGIN_TIMEOUT_MS);
+
+        app.get('/callback', async (req, res) => {
+            clearTimeout(timer);
+            const {code, error, error_description: errorDescription, state: returnedState} = req.query;
+
+            if (error) {
+                const msg = errorDescription || error;
+                res.status(400).send(renderCallbackPage({
+                    type: 'error',
+                    title: '授权失败',
+                    message: msg,
+                    hint: '请重新执行 weaverbird cli login',
+                }));
+                reject(new Error(msg));
+                return;
+            }
+
+            if (!code) {
+                res.status(400).send(renderCallbackPage({
+                    type: 'error',
+                    title: '授权失败',
+                    message: '缺少 authorization code',
+                    hint: '请重新执行 weaverbird cli login',
+                }));
+                reject(new Error('缺少 authorization code'));
+                return;
+            }
+
+            if (returnedState && returnedState !== state) {
+                res.status(400).send(renderCallbackPage({
+                    type: 'error',
+                    title: '授权失败',
+                    message: 'state 校验失败',
+                    hint: '请重新执行 weaverbird cli login',
+                }));
+                reject(new Error('OAuth state 校验失败'));
+                return;
+            }
+
+            try {
+                const token = await exchangeCodeForToken(code);
+                saveToken(token);
+                res.send(renderCallbackPage({
+                    type: 'success',
+                    title: '登录成功',
+                    message: 'CLI 已完成授权，token 已保存到本地。',
+                    hint: '可以关闭此页面',
+                }));
+                console.log('✅ 登录成功');
+                resolve(token);
+            } catch (err) {
+                res.status(500).send(renderCallbackPage({
+                    type: 'error',
+                    title: '登录失败',
+                    message: err.message,
+                    hint: '请重新执行 weaverbird cli login',
+                }));
+                reject(err);
+            } finally {
+                setTimeout(() => {
+                    if (server) {
+                        server.close();
+                    }
+                    process.exit(0);
+                }, 2000);
+            }
+        });
+    });
+
+    server = app.listen(CALLBACK_PORT, async () => {
+        try {
+            const sessionToken = await createAuthorizeSession(state);
+            const url = buildAuthorizeUrl(sessionToken);
+            console.log(`🔗 打开浏览器授权：${url}`);
+            console.log(`⏱  授权链接 ${LOGIN_TIMEOUT_MS / 60000} 分钟内有效，且仅可使用一次`);
+            try {
+                await open(url);
+            } catch {
+                console.log('无法自动打开浏览器，请手动访问上述链接');
+            }
+        } catch (err) {
+            clearTimeout(timer);
+            if (server) {
+                server.close();
+            }
+            throw err;
+        }
+    });
+
+    server.on('error', (err) => {
+        if (err.code === 'EADDRINUSE') {
+            throw new Error(`端口 ${CALLBACK_PORT} 已被占用，请关闭占用进程或设置 WEAVERBIRD_CALLBACK_PORT`);
+        }
+        throw err;
+    });
+
+    return done;
+}
+
+module.exports = {
+    startLogin,
+    exchangeCodeForToken,
+    buildAuthorizeUrl,
+    createAuthorizeSession,
+};

package/package.json

@@ -0,0 +1,37 @@
+{
+  "name": "@app-public/weaverbird-debug",
+  "version": "1.0.0",
+  "description": "WeaverBird CI 开放 CLI — 本地调试环境",
+  "bin": {
+    "weaverbird-debug": "bin/weaverbird-debug.js"
+  },
+  "main": "index.js",
+  "scripts": {
+    "config": "node scripts/build-config.js",
+    "config:debug": "node scripts/build-config.js --env=debug",
+    "config:test": "node scripts/build-config.js --env=test",
+    "config:release": "node scripts/build-config.js --env=release",
+    "build": "node scripts/run-build.js",
+    "test": "node --test test/*.test.js",
+    "prepublishOnly": "node scripts/run-build.js",
+    "publish:release": "node scripts/run-publish.js --env=release",
+    "publish:debug": "node scripts/run-publish.js --env=debug",
+    "publish:test": "node scripts/run-publish.js --env=test",
+    "publish:all": "npm run publish:release && npm run publish:debug && npm run publish:test"
+  },
+  "engines": {
+    "node": ">=16"
+  },
+  "dependencies": {
+    "cross-fetch": "^4.0.0",
+    "express": "^4.18.2",
+    "open": "^8.4.2",
+    "yargs": "^17.7.2"
+  },
+  "keywords": [
+    "weaverbird",
+    "ci",
+    "vesync"
+  ],
+  "license": "UNLICENSED"
+}

package/tokenStore.js

@@ -0,0 +1,46 @@
+const fs = require('fs');
+const path = require('path');
+const os = require('os');
+const { ENV } = require('./config');
+
+const DIR = path.join(os.homedir(), '.weaverbird');
+const FILE = path.join(DIR, `token.${ENV}.json`);
+
+function ensureDir() {
+  if (!fs.existsSync(DIR)) {
+    fs.mkdirSync(DIR, { recursive: true });
+  }
+}
+
+function saveToken(token) {
+  ensureDir();
+  fs.writeFileSync(FILE, JSON.stringify(token, null, 2), { mode: 0o600 });
+}
+
+function getToken() {
+  if (!fs.existsSync(FILE)) {
+    return null;
+  }
+  try {
+    return JSON.parse(fs.readFileSync(FILE, 'utf8'));
+  } catch {
+    return null;
+  }
+}
+
+function clearToken() {
+  if (fs.existsSync(FILE)) {
+    fs.unlinkSync(FILE);
+  }
+}
+
+function getTokenPath() {
+  return FILE;
+}
+
+module.exports = {
+  saveToken,
+  getToken,
+  clearToken,
+  getTokenPath,
+};