npm - @coclaw/openclaw-coclaw - Versions diffs - 0.23.0 → 0.24.0 - Mend

@coclaw/openclaw-coclaw 0.23.0 → 0.24.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (9) hide show

package/index.js +3 -0
package/package.json +1 -1
package/src/model-default/handlers.js +15 -3
package/src/model-default/index.js +4 -0
package/src/model-default/resolve.js +90 -0
package/src/provider-auth/device-code-login.js +123 -0
package/src/provider-auth/handlers.js +170 -4
package/src/provider-auth/index.js +25 -1
package/src/utils/deep-merge.js +40 -0

package/index.js CHANGED Viewed

@@ -809,6 +809,9 @@ const plugin = {
 		registerProviderAuthHandlers(api, {
 			loadSdk: () => import('openclaw/plugin-sdk/provider-auth'),
 			loadConfigMutation: () => import('openclaw/plugin-sdk/config-mutation'),
+			// provider-catalog-runtime 供通用 device-code 扫码登录（B1）拿 resolvePluginProviders，
+			// 驱动 provider 自带的 device_code 登录方法（codex/copilot 及以后任意 device_code provider）
+			loadProviderCatalogRuntime: () => import('openclaw/plugin-sdk/provider-catalog-runtime'),
 		});
 		// 模型默认配置 RPC（coclaw.model.set / list）。三个 SDK 子入口的字面量

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@coclaw/openclaw-coclaw",
-  "version": "0.23.0",
+  "version": "0.24.0",
   "type": "module",
   "license": "Apache-2.0",
   "description": "OpenClaw plugin for remote chat over WebRTC. Run `openclaw coclaw enroll` after install.",

package/src/model-default/handlers.js CHANGED Viewed

@@ -13,7 +13,7 @@
  * - catalog 校验用 `view: 'all'`：picker 可见性过滤会误判某些合法 provider 不存在（subagent 调研结论）
  */
-import { listAllPrimaries } from './resolve.js';
+import { listAllPrimariesWithCredentials } from './resolve.js';
 import { writePrimary } from './persist.js';
 const ALLOWED_KEYS = new Set(['agentId', 'primary']);
@@ -76,7 +76,10 @@ async function validateProviderCredAndCatalog({ provider, model, primary, cfg, s
  * @param {object} opts.sdk
  * @param {Function} opts.sdk.mutateConfigFile - openclaw/plugin-sdk/config-mutation
  * @param {Function} opts.sdk.buildModelsProviderData - openclaw/plugin-sdk/models-provider-runtime
- * @param {Function} opts.sdk.isProviderAuthProfileConfigured - openclaw/plugin-sdk/provider-auth
+ * @param {Function} opts.sdk.isProviderAuthProfileConfigured - openclaw/plugin-sdk/provider-auth（set 用）
+ * @param {Function} opts.sdk.isProviderApiKeyConfigured - openclaw/plugin-sdk/provider-auth（list 凭据信号用）
+ * @param {Function} opts.sdk.hasConfiguredSecretInput - openclaw/plugin-sdk/provider-auth（list 内联 key 判定）
+ * @param {Function} opts.sdk.ensureAuthProfileStore - openclaw/plugin-sdk/provider-auth（list 账本非空判定）
  * @param {Function} opts.loadConfig - 返回当前 cfg snapshot；缺失时返回 null
  * @param {Function} opts.resolveAgentDir - 返回 main agent /agent 子目录全路径
  * @returns {{ set: Function, list: Function }}
@@ -168,7 +171,16 @@ export function buildModelDefaultHandlers({ sdk, loadConfig, resolveAgentDir })
 				respondIoFailed(respond, new Error('runtime config not available'));
 				return;
 			}
-			respond(true, listAllPrimaries(cfg));
+			// 凭据信号（providerUsable / hasAnyUsableCredential）借三源判定：
+			// env+账本 走 isProviderApiKeyConfigured（别名归一化其内部完成），
+			// 内联 key 走 hasConfiguredSecretInput，账本非空走 ensureAuthProfileStore。
+			const deps = {
+				agentDir: resolveAgentDir(),
+				isProviderApiKeyConfigured: sdk.isProviderApiKeyConfigured,
+				hasConfiguredSecretInput: sdk.hasConfiguredSecretInput,
+				ensureAuthProfileStore: sdk.ensureAuthProfileStore,
+			};
+			respond(true, listAllPrimariesWithCredentials(cfg, deps));
 		}
 		catch (err) {
 			respondIoFailed(respond, err);

package/src/model-default/index.js CHANGED Viewed

@@ -80,6 +80,10 @@ export function registerModelDefaultHandlers(api, opts = {}) {
 					mutateConfigFile: configMutation.mutateConfigFile,
 					buildModelsProviderData: modelsRuntime.buildModelsProviderData,
 					isProviderAuthProfileConfigured: providerAuth.isProviderAuthProfileConfigured,
+					// list 凭据信号用（provider-auth barrel 已加载，无需新增子入口字面量）
+					isProviderApiKeyConfigured: providerAuth.isProviderApiKeyConfigured,
+					hasConfiguredSecretInput: providerAuth.hasConfiguredSecretInput,
+					ensureAuthProfileStore: providerAuth.ensureAuthProfileStore,
 				};
 				return buildModelDefaultHandlers({ sdk, loadConfig, resolveAgentDir });
 			})();

package/src/model-default/resolve.js CHANGED Viewed

@@ -86,3 +86,93 @@ export function listAllPrimaries(cfg) {
 	}
 	return out;
 }
+/**
+ * 取 primary 的 provider 段（'<provider>/<model>' 中第一个 '/' 之前）。
+ * 不含 '/' 或 '/' 在开头（provider 段为空）时返回 null。
+ * 不做别名归一化——交给下游 isProviderApiKeyConfigured 内部完成。
+ * @param {string|null} primary
+ * @returns {string|null}
+ */
+export function providerSegmentOf(primary) {
+	if (typeof primary !== 'string') return null;
+	const slashIdx = primary.indexOf('/');
+	if (slashIdx <= 0) return null;
+	return primary.slice(0, slashIdx);
+}
+/**
+ * 某 provider 是否配了内联 key（cfg.models.providers[provider].apiKey）。
+ * 仅是"配置信号"（hasConfiguredSecretInput 不验证 env 引用能否真解析，
+ * 见心智模型典型陷阱 #20），方向偏向少误报。
+ */
+function hasInlineKey(cfg, provider, hasConfiguredSecretInput) {
+	const entry = cfg?.models?.providers?.[provider];
+	return entry ? hasConfiguredSecretInput(entry.apiKey) : false;
+}
+/**
+ * 该 primary 那家 provider 有没有可用凭据。
+ * 判定 = isProviderApiKeyConfigured（覆盖环境变量 + 自管账本，别名归一化其内部完成）
+ *        或 该 provider 配了内联 key。
+ * primary 解析不出 provider 段（含 null）时恒 false（UI 此时走 noPrimary，不看它）。
+ * @param {string|null} primary
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, isProviderApiKeyConfigured, hasConfiguredSecretInput }
+ * @returns {boolean}
+ */
+export function computeProviderUsable(primary, cfg, deps) {
+	const provider = providerSegmentOf(primary);
+	if (!provider) return false;
+	if (deps.isProviderApiKeyConfigured({ provider, agentDir: deps.agentDir })) return true;
+	return hasInlineKey(cfg, provider, deps.hasConfiguredSecretInput);
+}
+/**
+ * 这台 claw 有没有任何可用凭据：自管账本非空 或 任一 provider 节点有内联 key。
+ * 驱动 UI 的 noKey 引导。
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, ensureAuthProfileStore, hasConfiguredSecretInput }
+ * @returns {boolean}
+ */
+export function computeHasAnyUsableCredential(cfg, deps) {
+	const store = deps.ensureAuthProfileStore(deps.agentDir, { allowKeychainPrompt: false });
+	if (store && store.profiles && Object.keys(store.profiles).length > 0) return true;
+	const providers = cfg?.models?.providers;
+	if (providers && typeof providers === 'object') {
+		for (const entry of Object.values(providers)) {
+			if (entry && deps.hasConfiguredSecretInput(entry.apiKey)) return true;
+		}
+	}
+	return false;
+}
+/**
+ * 装配带凭据信号的 list 出参（docs/model-config-api.md § 3.4「凭据信号」）。
+ * 在 listAllPrimaries 基础上给每个 scope 加 providerUsable，并加顶层 hasAnyUsableCredential。
+ * @param {object} cfg
+ * @param {object} deps - { agentDir, isProviderApiKeyConfigured, hasConfiguredSecretInput, ensureAuthProfileStore }
+ * @returns {{
+ *   default: { primary: string|null, providerUsable: boolean },
+ *   agents: Record<string, { primary: string|null, providerUsable: boolean }>,
+ *   hasAnyUsableCredential: boolean,
+ * }}
+ */
+export function listAllPrimariesWithCredentials(cfg, deps) {
+	const base = listAllPrimaries(cfg);
+	const out = {
+		default: {
+			primary: base.default.primary,
+			providerUsable: computeProviderUsable(base.default.primary, cfg, deps),
+		},
+		agents: {},
+		hasAnyUsableCredential: computeHasAnyUsableCredential(cfg, deps),
+	};
+	for (const [id, v] of Object.entries(base.agents)) {
+		out.agents[id] = {
+			primary: v.primary,
+			providerUsable: computeProviderUsable(v.primary, cfg, deps),
+		};
+	}
+	return out;
+}

package/src/provider-auth/device-code-login.js ADDED Viewed

@@ -0,0 +1,123 @@
+/**
+ * device-code-login.js —— 通用「设备码扫码登录」驱动的可复用零件（B1：驱动上游 run）
+ *
+ * 不复刻任何一家的登录流程，而是经 plugin-sdk 的 resolvePluginProviders 拿到 provider 自己的
+ * device_code 登录方法，用一个「捕获型 prompter」的 ctx 去驱动它的 run(ctx)，跟随上游同步。
+ * 适用于**任何**暴露了 kind==='device_code' auth 方法的 provider（codex / copilot / 以后新增的），
+ * 不针对某一家硬编码。minimax-portal 例外（走自家 B2 复刻流，见 handlers.js 路由 + minimax-oauth.js）。
+ *
+ * 本模块只放**纯函数 + ctx 工厂**（无 I/O、无 respond / 落盘），编排与两阶段响应在 handlers.js。
+ *
+ * 关键事实（核实自 openclaw-repo，详见 docs/model-config-api.md § 6.16）：
+ * - device_code 方法的 run(ctx) 是「纯输出 + 后台轮询、零用户实时输入」：先 prompter.note 亮出
+ *   「URL + 码」，再内部轮询，拿到 token 才 resolve。故套得进 CoClaw 现有两阶段 RPC，无需多轮 prompt 管道。
+ * - codex / copilot 的验证 note 用同一套模板（`URL: <url>` 行 + `Code: <code>` 行），一条正则通吃。
+ *   抠不到也不报错——把 note 全文作为 rawText 交前端兜底（用户明确要求）。
+ * - codex 失败时会再发一条含 docs URL 的「帮助 note」；copilot 首条 note 是无 URL 的前导语。
+ *   故「是否验证 note」判定 = 含 URL 且非帮助/FAQ 文案，不能只看「第一条 note」。
+ * - copilot 已登录会先 confirm「是否重登」→ 捕获型 prompter 答 true（强制走一遍登录拿码）。
+ * - 输出型 prompter：text / select / multiselect / oauth.createVpsAwareHandlers 一旦被调即抛错
+ *   （= 该方法需要交互/回环、本通道不支持），错误经 run reject 暴露。
+ */
+// note 里的 URL：取到空白 / 右括号为止
+const URL_RE = /https?:\/\/[^\s)]+/;
+// 帮助 / FAQ 类 note 也含 URL，但不是验证信息，必须排除
+const HELP_NOTE_RE = /faq|help|trouble|docs\.openclaw/i;
+// 设备码样式短码兜底（如 ABCD-1234），仅在没有 `Code:` 行时用
+const DEVICE_CODE_RE = /\b[A-Z0-9]{4,}-[A-Z0-9]{4,}\b/;
+/**
+ * 判断一条 note 文本是否「验证信息 note」（亮 URL+码 的那条）。
+ * @param {string} text
+ * @returns {boolean}
+ */
+export function isVerificationNote(text) {
+	const t = String(text ?? '');
+	if (!URL_RE.test(t)) return false;
+	if (HELP_NOTE_RE.test(t)) return false;
+	return true;
+}
+/**
+ * 从验证 note 文本里尽力抠出结构化字段；抠不到的返回 null（绝不抛错）。
+ *
+ * URL：优先 `URL:` 行，回退首个 http(s) 链接。
+ * Code：优先 `Code:` 行，回退设备码样式短码。
+ *
+ * @param {string} text
+ * @returns {{ verificationUri: string|null, userCode: string|null }}
+ */
+export function extractVerification(text) {
+	const t = String(text ?? '');
+	let verificationUri = null;
+	const urlLine = t.match(/^[ \t]*URL:[ \t]*(\S+)/im);
+	if (urlLine) verificationUri = urlLine[1];
+	else {
+		const m = t.match(URL_RE);
+		if (m) verificationUri = m[0];
+	}
+	let userCode = null;
+	const codeLine = t.match(/^[ \t]*Code:[ \t]*(\S+)/im);
+	if (codeLine) userCode = codeLine[1];
+	else {
+		const m = t.match(DEVICE_CODE_RE);
+		if (m) userCode = m[0];
+	}
+	return { verificationUri, userCode };
+}
+/**
+ * 在 resolvePluginProviders 结果里找指定 provider 的 device_code 登录方法。
+ * @param {Array<{id:string, auth?:Array<{kind:string, run?:Function}>}>} providers
+ * @param {string} providerId
+ * @returns {{ id:string, run:Function }|null}
+ */
+export function findDeviceCodeMethod(providers, providerId) {
+	const provider = (providers ?? []).find((p) => p?.id === providerId);
+	if (!provider) return null;
+	const method = (provider.auth ?? []).find(
+		(m) => m?.kind === 'device_code' && typeof m.run === 'function',
+	);
+	return method ?? null;
+}
+/**
+ * 造一个「捕获型」ProviderAuthContext 去驱动 run。
+ *
+ * note 转发给 onNote（验证信息从这里来）；progress 空操作；confirm 答 true（copilot 重登放行）；
+ * 真交互（text / select / multiselect / 回环 handler）一旦被调即抛，标记为「需交互、不支持」。
+ * isRemote=true（codex 据此跳过本地 openUrl）；openUrl 空操作（copilot 会无条件调，安全吞掉）。
+ *
+ * @param {object} args
+ * @param {object} args.config - OpenClaw 运行时配置快照
+ * @param {string} [args.agentDir] - 凭据目录（copilot 据此探测已有登录）
+ * @param {(text:string, title?:string)=>void} args.onNote - 每条 note 的回调
+ * @returns {object} ProviderAuthContext 形状
+ */
+export function makeDeviceCodeCtx({ config, agentDir, onNote }) {
+	return {
+		config: config ?? {},
+		env: process.env,
+		agentDir,
+		prompter: {
+			intro: async () => {},
+			outro: async () => {},
+			plain: async () => {},
+			note: async (message, title) => { onNote(String(message ?? ''), title); },
+			progress: () => ({ update() {}, stop() {} }),
+			confirm: async () => true,
+			text: async () => { throw new Error('device-code login requires no text input'); },
+			select: async () => { throw new Error('device-code login requires no selection'); },
+			multiselect: async () => { throw new Error('device-code login requires no multiselect'); },
+		},
+		runtime: { log: () => {}, error: () => {}, exit: () => {} },
+		isRemote: true,
+		openUrl: async () => {},
+		oauth: {
+			createVpsAwareHandlers: () => {
+				throw new Error('device-code login does not support loopback handlers');
+			},
+		},
+	};
+}

package/src/provider-auth/handlers.js CHANGED Viewed

@@ -37,6 +37,14 @@ import { randomUUID } from 'node:crypto';
 import { PORTAL_PROVIDER_ID, CONFIG_DEFAULT_BASE_URL, VALID_REGIONS } from './minimax-oauth.js';
 import { getPortalModels } from './portal-model-catalog.js';
 import { remoteLog } from '../remote-log.js';
+import { getClawConfig } from '../claw-config.js';
+import { deepMergeInto } from '../utils/deep-merge.js';
+import {
+	isVerificationNote,
+	extractVerification,
+	findDeviceCodeMethod,
+	makeDeviceCodeCtx,
+} from './device-code-login.js';
 const VALID_CRED_TYPES = new Set(['api_key', 'oauth', 'token']);
 const PORTAL_PROFILE_ID = `${PORTAL_PROVIDER_ID}:default`;
@@ -68,11 +76,13 @@ function isNonEmptyString(v) {
  * @param {Function} opts.sdk.formatApiKeyPreview - 遮蔽显示 helper
  * @param {Function} [opts.sdk.mutateConfigFile] - async；OAuth 写 cfg（openclaw/plugin-sdk/config-mutation）
  * @param {Function} opts.resolveAgentDir - 返回 main agent 完整路径（含 /agent 子目录）
- * @param {object} [opts.oauth] - createMiniMaxOAuth 实例（requestDeviceCode / pollUntilSettled）；OAuth handler 才用
- * @param {object} [opts.registry] - oauth-registry（registerLogin / getLogin / removeLogin）
+ * @param {object} [opts.oauth] - createMiniMaxOAuth 实例（requestDeviceCode / pollUntilSettled）；MiniMax B2 才用
+ * @param {object} [opts.registry] - oauth-registry（registerLogin / getLogin / removeLogin）；B2/B1 共用
  * @param {Function} [opts.genLoginId] - () → loginId，默认 randomUUID
- * @param {Function} [opts.scheduleBackground] - (promise) → void，挂后台轮询；默认 fire-and-forget + .catch
+ * @param {Function} [opts.scheduleBackground] - (promise) → void，挂后台任务；默认 fire-and-forget + .catch
  * @param {Function} [opts.logRemote] - (text) → void，OAuth 终态诊断推送；默认模块级 remoteLog（测试注入 spy）
+ * @param {Function} [opts.resolveConfig] - () → OpenClaw runtime config 快照；通用 device-code 登录（B1）拿 config 用，默认 getClawConfig
+ * @param {Function} [opts.resolveProviders] - ({ config, providerRefs }) → ProviderPlugin[]；B1 经它拿 provider 的 auth 方法（生产由入口注入，内部 activate:false），默认抛错
  * @returns {{ setApiKey, list, remove, loginOauth, cancelOauth }}
  */
 export function buildProviderAuthHandlers({
@@ -83,6 +93,8 @@ export function buildProviderAuthHandlers({
 	genLoginId = randomUUID,
 	scheduleBackground = (p) => { p.catch(() => {}); },
 	logRemote = remoteLog,
+	resolveConfig = getClawConfig,
+	resolveProviders = () => { throw new Error('provider catalog runtime not injected'); },
 }) {
 	// TODO: 将来若要支持"设默认模型 / 多账号顺序"等需要写 cfg 的操作，会撞上
 	// gateway 重启窗口的 UX 问题——参 docs/model-config-api.md § 3 / § 5（占位章节）。
@@ -293,7 +305,10 @@ export function buildProviderAuthHandlers({
 		}
 	}
-	async function loginOauth({ params, respond }) {
+	// MiniMax 设备码登录（B2：自家复刻设备码流，码已嵌在 verification URL 里 + 写静态模型清单）。
+	// 不并入通用 B1：MiniMax 不在 OpenClaw 内置 provider 字典，登录后还要补写 models.providers 清单
+	// （上游对 portal 不做 catalog discovery），与 codex/copilot「内置、模型自带」不同——见 docs § 6.16。
+	async function loginOauthMiniMax({ params, respond }) {
 		try {
 			const region = params?.region ?? 'cn';
 			if (!VALID_REGIONS.has(region)) {
@@ -330,6 +345,157 @@ export function buildProviderAuthHandlers({
 		}
 	}
+	// --- 通用设备码登录（B1：驱动上游 provider 的 device_code run，跟随上游同步） ---
+	// 设备码失败的终态响应：phase-1 已发过 accepted → 发 phase-2 错误帧（带 status）；
+	// phase-1 之前就失败 → 单帧错误（payload undefined，与 MiniMax phase-1 之前失败同形）
+	function respondDeviceFailure(respond, phase1Sent, code, message, status = 'error') {
+		if (phase1Sent) respond(false, { status }, { code, message });
+		else respond(false, undefined, { code, message });
+	}
+	// 设备码登录成功：逐个写凭据 + 有 configPatch 就深合并进 cfg（hot-reload，零打断），恰好 respond 一次
+	async function persistDeviceCodeSuccess({ provider, result, loginId, phase1Sent, respond }) {
+		try {
+			const profileIds = [];
+			for (const profile of result.profiles) {
+				// 同一 auth-profiles 文件，顺序写避免锁竞争（device-code 通常仅 1 个 profile）
+				const r = await sdk.upsertAuthProfileWithLock({
+					profileId: profile.profileId,
+					credential: profile.credential,
+					agentDir: resolveAgentDir(),
+				});
+				if (r === null) {
+					respondDeviceFailure(respond, phase1Sent, 'IO_FAILED', 'failed to write auth-profiles store');
+					logRemote(`providerAuth.deviceCode.io-failed provider=${provider} loginId=${loginId} stage=credential`);
+					return;
+				}
+				profileIds.push(profile.profileId);
+			}
+			const patch = result.configPatch;
+			if (patch && typeof patch === 'object' && !Array.isArray(patch)) {
+				// configPatch 是 provider 自带的 onboarding 默认（如 codex 写 agents.defaults.models 别名）；
+				// 深合并保留其它 provider，afterWrite:auto 走 hot-reload 不重启（与 MiniMax 写 cfg 一致）
+				await sdk.mutateConfigFile({
+					afterWrite: { mode: 'auto' },
+					mutate(draft) { deepMergeInto(draft, patch); },
+				});
+			}
+			respond(true, { status: 'ok', provider, profileIds });
+			logRemote(`providerAuth.deviceCode.ok provider=${provider} loginId=${loginId} profiles=${profileIds.length}`);
+		}
+		catch (err) {
+			respondDeviceFailure(respond, phase1Sent, 'IO_FAILED', String(err?.message ?? err));
+			logRemote(`providerAuth.deviceCode.io-failed provider=${provider} loginId=${loginId} stage=config msg=${String(err?.message ?? err)}`);
+		}
+	}
+	async function loginOauthDeviceCode({ provider, respond }) {
+		try {
+			const config = resolveConfig() ?? {};
+			let providers;
+			try {
+				// resolveProviders 可能 async（生产侧惰性加载 catalog-runtime SDK 后再 resolve）
+				providers = await resolveProviders({ config, providerRefs: [provider] });
+			}
+			catch (err) {
+				// 加载器异常（SDK import 失败 / resolvePluginProviders 抛错）：phase-1 之前，单帧错误
+				respondIoFailed(respond, err);
+				return;
+			}
+			const method = findDeviceCodeMethod(providers, provider);
+			if (!method) {
+				respond(false, undefined, {
+					code: 'NOT_FOUND',
+					message: `provider "${provider}" has no device-code login method`,
+				});
+				return;
+			}
+			const loginId = genLoginId();
+			const abortController = new AbortController();
+			let phase1Sent = false;
+			// run 内 prompter.note 吐出「含 URL 的验证 note」→ 触发 phase-1 accepted（仅一次）。
+			// 结构化字段抠不到给 null，rawText 永远带上全文交前端兜底。登记发生在 respond accepted 之前，
+			// 让紧随其后的 cancelOauth 一定能按 loginId 找到该登录。
+			const ctx = makeDeviceCodeCtx({
+				config,
+				agentDir: resolveAgentDir(),
+				onNote: (text) => {
+					if (phase1Sent || !isVerificationNote(text)) return;
+					phase1Sent = true;
+					registry.registerLogin(loginId, { abortController });
+					const { verificationUri, userCode } = extractVerification(text);
+					respond(true, {
+						status: 'accepted',
+						loginId,
+						provider,
+						verificationUri,
+						userCode,
+						rawText: text,
+					});
+				},
+			});
+			// 起 run（不 await 整体）；run 仅跑一次，resolve/reject 都到这里恰好终态一次。
+			// run 无 abort 钩子：取消停不掉上游后台轮询，cancelOauth 只 abort 信号 → run 到期自己 settle
+			// 时这里识别 aborted、回 cancelled 终态、不写凭据（终态必达 + 清理，不做复查骚操作）。
+			async function runAndSettle() {
+				let result;
+				let runErr;
+				try {
+					result = await Promise.resolve().then(() => method.run(ctx));
+				}
+				catch (err) {
+					runErr = err;
+				}
+				if (phase1Sent) registry.removeLogin(loginId);
+				if (runErr) {
+					respondDeviceFailure(respond, phase1Sent, 'OAUTH_FAILED', String(runErr?.message ?? runErr));
+					logRemote(`providerAuth.deviceCode.error provider=${provider} loginId=${loginId} stage=run msg=${String(runErr?.message ?? runErr)}`);
+					return;
+				}
+				if (abortController.signal.aborted) {
+					respondDeviceFailure(respond, phase1Sent, 'OAUTH_CANCELLED', `device-code login for ${provider} was cancelled`, 'cancelled');
+					logRemote(`providerAuth.deviceCode.cancelled provider=${provider} loginId=${loginId}`);
+					return;
+				}
+				// 上游会把中途失败吞成空 profiles（如 copilot access_denied / expired）→ 空即失败
+				const profiles = Array.isArray(result?.profiles) ? result.profiles : [];
+				if (profiles.length === 0) {
+					respondDeviceFailure(respond, phase1Sent, 'OAUTH_FAILED', `device-code login for ${provider} returned no credentials`);
+					logRemote(`providerAuth.deviceCode.error provider=${provider} loginId=${loginId} stage=empty-profiles`);
+					return;
+				}
+				await persistDeviceCodeSuccess({ provider, result, loginId, phase1Sent, respond });
+			}
+			scheduleBackground(runAndSettle());
+		}
+		catch (err) {
+			respondIoFailed(respond, err);
+		}
+	}
+	// 登录入口路由：minimax-portal（或缺省，向后兼容）→ B2 自家流；其它任何带 device_code 方法的
+	// provider → 通用 B1 驱动。不针对 codex/copilot 硬编码，后续 OpenClaw 新增 device_code provider 自动适用。
+	async function loginOauth({ params, respond }) {
+		const provider = params?.provider;
+		// provider 给了就必须是非空串（缺省保留给 MiniMax B2 向后兼容）：空串 / 非串在边界挡掉，
+		// 不让其漏进 B1 当 NOT_FOUND，也不把非串塞给上游 resolvePluginProviders（providerRefs 期望串）
+		if (provider !== undefined && !isNonEmptyString(provider)) {
+			respondInvalid(respond, 'provider must be a non-empty string when provided');
+			return;
+		}
+		if (provider === undefined || provider === PORTAL_PROVIDER_ID) {
+			return loginOauthMiniMax({ params, respond });
+		}
+		return loginOauthDeviceCode({ provider, respond });
+	}
 	async function cancelOauth({ params, respond }) {
 		try {
 			const loginId = params?.loginId;

package/src/provider-auth/index.js CHANGED Viewed

@@ -24,6 +24,7 @@ import { mainAgentDir } from '../claw-paths.js';
 // 不要在 hook 回调里访问本模块的 export。详见 docs/module-boundaries.md。
 let _sdkPromise;
 let _configMutationPromise;
+let _catalogRuntimePromise;
 // 默认 loader 仅作 fallback：生产路径必须由入口（plugins/openclaw/index.js）注入，
 // 因为 OpenClaw plugin loader 只扫入口源码识别 `openclaw/plugin-sdk/*` 字面量并触发 jiti 重写；
@@ -39,12 +40,18 @@ function defaultLoadConfigMutation() {
 	return _configMutationPromise;
 }
+function defaultLoadProviderCatalogRuntime() {
+	_catalogRuntimePromise ??= import('openclaw/plugin-sdk/provider-catalog-runtime');
+	return _catalogRuntimePromise;
+}
 /**
  * 测试辅助：清掉懒加载 SDK 缓存。
  */
 export function __resetSdkCache() {
 	_sdkPromise = undefined;
 	_configMutationPromise = undefined;
+	_catalogRuntimePromise = undefined;
 }
 /**
@@ -58,14 +65,31 @@ export function __resetSdkCache() {
  * @param {Function} [opts.resolveAgentDir] - 覆盖 agentDir 解析（默认 mainAgentDir）
  * @param {Function} [opts.loadSdk] - 必传（生产由入口注入字面量 dynamic import）；缺省回退仅为测试兜底
  * @param {Function} [opts.loadConfigMutation] - 必传（同上，OAuth 写 cfg 用）
+ * @param {Function} [opts.loadProviderCatalogRuntime] - 必传（同上，通用 device-code 登录 B1 拿 resolvePluginProviders 用）
  * @param {object} [opts.registry] - 覆盖 oauth-registry（默认模块级单例）
  */
 export function registerProviderAuthHandlers(api, opts = {}) {
 	const resolveAgentDir = opts.resolveAgentDir ?? mainAgentDir;
 	const loadSdk = opts.loadSdk ?? defaultLoadSdk;
 	const loadConfigMutation = opts.loadConfigMutation ?? defaultLoadConfigMutation;
+	const loadProviderCatalogRuntime = opts.loadProviderCatalogRuntime ?? defaultLoadProviderCatalogRuntime;
 	const registry = opts.registry ?? { registerLogin, getLogin, removeLogin };
+	// catalog-runtime 仅通用 device-code 登录（B1）才需要，独立惰性加载——不耦合进 getHandlers
+	// 的 Promise.all，避免 setApiKey / list / remove / minimax-oauth 因这个 SDK 子入口缺失而连带失败。
+	let catalogRuntimePromise;
+	const resolveProviders = async ({ config, providerRefs }) => {
+		catalogRuntimePromise ??= loadProviderCatalogRuntime();
+		const catalogRuntime = await catalogRuntimePromise;
+		// 铁律：activate:false —— 只读拿 method.run，不激活 provider，零副作用（不动 gateway 活跃插件名册）。
+		return catalogRuntime.resolvePluginProviders({
+			config,
+			providerRefs,
+			activate: false,
+			mode: 'runtime',
+		});
+	};
 	let handlersPromise;
 	async function getHandlers() {
 		if (!handlersPromise) {
@@ -83,7 +107,7 @@ export function registerProviderAuthHandlers(api, opts = {}) {
 					generatePkce: providerAuthSdk.generatePkceVerifierChallenge,
 					toForm: providerAuthSdk.toFormUrlEncoded,
 				});
-				return buildProviderAuthHandlers({ sdk, resolveAgentDir, oauth, registry });
+				return buildProviderAuthHandlers({ sdk, resolveAgentDir, oauth, registry, resolveProviders });
 			})();
 		}
 		return handlersPromise;

package/src/utils/deep-merge.js ADDED Viewed

@@ -0,0 +1,40 @@
+/**
+ * deep-merge.js —— 把 patch 递归并入 target（就地修改）
+ *
+ * 语义（与上游 config patch 合并对齐 openclaw-repo/src/plugins/provider-auth-choice-helpers.ts
+ * 的 mergeConfigPatch）：
+ * - 两边都是 plain object → 递归并入；
+ * - 否则（数组 / 原始值 / null）→ patch 值直接覆盖；
+ * - 原型污染键（__proto__ / constructor / prototype）一律跳过。
+ *
+ * 用途：provider 登录返回的 configPatch（Partial<OpenClawConfig>）合并进 mutateConfigFile 的
+ * draft——不能裸 Object.assign（会把 models / agents 整段顶掉），必须逐层深合并保留其它 provider。
+ */
+const BLOCKED_KEYS = new Set(['__proto__', 'constructor', 'prototype']);
+function isPlainObject(v) {
+	return v !== null && typeof v === 'object' && !Array.isArray(v);
+}
+/**
+ * 把 patch 深合并进 target（就地修改 target）。
+ *
+ * target 非 plain object 时不做任何事（无处可并）。
+ *
+ * @param {object} target - 被修改的目标对象（如 mutateConfigFile 的 draft）
+ * @param {unknown} patch - 要并入的补丁；非 plain object 时整体忽略
+ */
+export function deepMergeInto(target, patch) {
+	if (!isPlainObject(target) || !isPlainObject(patch)) return;
+	for (const [key, value] of Object.entries(patch)) {
+		if (BLOCKED_KEYS.has(key)) continue;
+		if (isPlainObject(value)) {
+			if (!isPlainObject(target[key])) target[key] = {};
+			deepMergeInto(target[key], value);
+		}
+		else {
+			target[key] = value;
+		}
+	}
+}