@iola_adm/iola-cli 0.2.13 → 0.2.15

package/README.md

@@ -188,15 +188,16 @@ iola cloud backup
 
 Инструкция: [Облачные диски](https://github.com/adm-iola/iola-cli/wiki/Облачные-диски).
 
-Yandex Connector объединяет пользовательские сервисы Яндекса в категории:
+Yandex Connector открывает браузер, авторизует пользователя в Яндексе и сохраняет OAuth-токен локально. Какие функции CLI реально использует, выбирается отдельно:
 
 ```bash
 iola yandex services
 iola yandex setup
+iola yandex menu
 iola yandex status
 ```
 
-Первый контур: Yandex ID и Яндекс Диск. Почта, календарь, контакты, Wiki, Tracker, Forms и документы 360 заложены как категории для проверки. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
+Первый контур: Yandex ID, Яндекс Диск и Яндекс Почта. Календарь, контакты, Wiki, Tracker, Forms и документы 360 заложены как категории для проверки и могут потребовать отдельное OAuth-приложение Яндекса. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
 
 Инструкция: [Yandex Connector](https://github.com/adm-iola/iola-cli/wiki/Yandex-Connector).
 

package/bin/postinstall.js

@@ -1,10 +1,14 @@
 #!/usr/bin/env node
 import { spawn } from "node:child_process";
 import { fileURLToPath } from "node:url";
-import { dirname, resolve } from "node:path";
+import { copyFileSync, existsSync, mkdirSync } from "node:fs";
+import { dirname, join, resolve } from "node:path";
+import os from "node:os";
 
 const rootDir = resolve(dirname(fileURLToPath(import.meta.url)), "..");
 const cliPath = resolve(rootDir, "bin", "iola.js");
+const oauthIconSource = resolve(rootDir, "docs", "assets", "iola-oauth-icon.png");
+const oauthIconTarget = join(os.homedir(), ".iola", "assets", "iola-oauth-icon.png");
 const node = process.execPath;
 const frames = ["|", "/", "-", "\\"];
 
@@ -21,6 +25,10 @@ const steps = [
     title: "Проверка локальной модели IOLA",
     args: [cliPath, "ai", "setup", "iola", "--yes", "--quiet", "--optional", "--preserve-active"],
   },
+  {
+    title: "Установка иконки Yandex OAuth",
+    local: installOauthIcon,
+  },
 ];
 
 const canAnimate = process.stdout.isTTY && process.env.CI !== "true";
@@ -52,9 +60,11 @@ async function runStep(step, current, total) {
   }
   render();
   const timer = setInterval(render, 120);
-  const result = await run(node, ["--no-warnings", ...step.args], (chunk) => {
-    lastOutput = chunk.trim() || lastOutput;
-  });
+  const result = step.local
+    ? await runLocalStep(step.local)
+    : await run(node, ["--no-warnings", ...step.args], (chunk) => {
+      lastOutput = chunk.trim() || lastOutput;
+    });
   clearInterval(timer);
 
   if (result.code !== 0) {
@@ -71,6 +81,21 @@ async function runStep(step, current, total) {
   }
 }
 
+async function runLocalStep(fn) {
+  try {
+    await fn();
+    return { code: 0 };
+  } catch (error) {
+    return { code: 1, error };
+  }
+}
+
+function installOauthIcon() {
+  if (!existsSync(oauthIconSource)) return;
+  mkdirSync(dirname(oauthIconTarget), { recursive: true });
+  copyFileSync(oauthIconSource, oauthIconTarget);
+}
+
 function run(command, args, onOutput) {
   return new Promise((resolvePromise) => {
     const child = spawn(command, args, {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@iola_adm/iola-cli",
-  "version": "0.2.13",
+  "version": "0.2.15",
   "description": "CLI и AI-агент городского округа Йошкар-Ола.",
   "license": "MIT",
   "homepage": "https://github.com/adm-iola/iola-cli#readme",
@@ -27,6 +27,7 @@
     "skills",
     "wiki",
     "docs/assets/readme-header.png",
+    "docs/assets/iola-oauth-icon.png",
     "README.md",
     "LICENSE"
   ],

package/src/cli.js

@@ -42,6 +42,11 @@ const BROWSER_RUNTIME_PACKAGE = path.join(BROWSER_RUNTIME_DIR, "node_modules", "
 const CLOUD_DEFAULT_REMOTE_DIR = "/IOLA";
 const YANDEX_OAUTH_AUTHORIZE_URL = "https://oauth.yandex.ru/authorize";
 const YANDEX_OAUTH_REDIRECT_URL = "https://oauth.yandex.ru/verification_code";
+const YANDEX_CONNECTOR_CLIENT_ID = process.env.IOLA_YANDEX_OAUTH_CLIENT_ID || process.env.YANDEX_OAUTH_CLIENT_ID || "915b0b6ef0474f3a9b3edd70515c5d60";
+const YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID = process.env.IOLA_YANDEX_WORKSPACE_OAUTH_CLIENT_ID || "";
+const YANDEX_CONNECTOR_REDIRECT_HOST = "127.0.0.1";
+const YANDEX_CONNECTOR_REDIRECT_PORT = Number(process.env.IOLA_YANDEX_OAUTH_PORT || 18791);
+const YANDEX_CONNECTOR_REDIRECT_PATH = "/yandex/oauth/callback";
 const YANDEX_CONNECTOR_SERVICES = {
   identity: {
     title: "Yandex ID",
@@ -149,6 +154,20 @@ const YANDEX_CONNECTOR_SERVICES = {
     hint: "только подготовка заявки/ссылки, без оформления и оплаты",
   },
 };
+const YANDEX_CONNECTOR_OAUTH_APPS = [
+  {
+    id: "core",
+    title: "IOLA Yandex Core",
+    clientId: YANDEX_CONNECTOR_CLIENT_ID,
+    services: ["identity", "disk", "mail"],
+  },
+  {
+    id: "workspace",
+    title: "IOLA Yandex Workspace",
+    clientId: YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID,
+    services: ["contacts", "wiki", "tracker", "forms", "docs"],
+  },
+];
 const INDEXABLE_EXTENSIONS = /\.(md|txt|csv|json|html|docx|xlsx|pptx|pdf)$/i;
 const LOCAL_TOOLS = ["search_data", "search_entities", "resolve_entity_field", "get_card", "export_report", "file_read", "browser_open", "get_current_date"];
 const LEGACY_LOCAL_TOOLS = ["search_local", "export_data", "run_report", "save_view"];
@@ -348,6 +367,7 @@ const DEFAULT_AI_CONFIG = {
     },
   },
   yandex: {
+    authorizedServices: [],
     enabledServices: [],
     categories: {},
     oauth: {
@@ -440,6 +460,7 @@ const SLASH_COMMANDS = [
   { command: "/tools", description: "tools и toolsets" },
   { command: "/files status", description: "локальные файловые операции" },
   { command: "/cloud status", description: "облачные диски" },
+  { command: "/yandex", description: "выбор сервисов Yandex Connector" },
   { command: "/archive doctor", description: "архиватор" },
   { command: "/changes list", description: "подготовленные изменения" },
   { command: "/index status", description: "индекс документов" },
@@ -707,7 +728,7 @@ Usage:
   iola tools list|toolsets|enable|disable|profile
   iola files status|mode|approvals|tree|read|search|write|patch
   iola cloud setup|status|ls|find|upload|download|share|save|backup
-  iola yandex setup|status|services|enable|disable|oauth-url|token
+  iola yandex setup|menu|status|services|enable|disable|oauth-url|token
   iola archive doctor|list|test|extract|create|index
   iola changes list|show|apply|discard
   iola import file|folder
@@ -1446,6 +1467,7 @@ async function handleAgentLine(line, state) {
     skills: ["skills", args],
     files: ["files", args],
     archive: ["archive", args],
+    yandex: ["yandex", args.length ? args : ["menu"]],
     changes: ["changes", args],
     index: ["index", args],
     reports: ["reports", args],
@@ -2019,6 +2041,7 @@ async function doctor(args = []) {
       openrouterKey: process.env.OPENROUTER_API_KEY ? "env" : secrets.openrouter?.apiKey ? "local" : "missing",
       yandexGeocoderKey: (process.env.YANDEX_GEOCODER_API_KEY || process.env.YANDEX_MAPS_API_KEY) ? "env" : secrets.yandexGeocoder?.apiKey ? "local" : "missing",
       yandexConnector: (process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || secrets.cloud?.["yandex-disk"]?.token) ? "local/env" : "missing",
+      yandexAuthorized: config.yandex?.authorizedServices?.join(", ") || "-",
       yandexServices: config.yandex?.enabledServices?.join(", ") || (secrets.cloud?.["yandex-disk"]?.token ? "disk (legacy cloud token)" : "-"),
       ollama: diagnostics.ollama.installed ? diagnostics.ollama.version : "not-installed",
     },
@@ -3200,9 +3223,14 @@ async function handleCloud(args) {
 }
 
 async function handleYandex(args) {
-  const [action = "status", target, ...rest] = args;
+  const [action = process.stdin.isTTY ? "menu" : "status", target, ...rest] = args;
   const options = parseOptions(rest);
 
+  if (action === "menu" || action === "choose" || action === "select") {
+    await chooseYandexServicesMenu();
+    return;
+  }
+
   if (action === "services" || action === "list") {
     printYandexServices();
     return;
@@ -3250,6 +3278,7 @@ async function handleYandex(args) {
 
   throw new Error(`Команды yandex:
   iola yandex setup
+  iola yandex menu
   iola yandex status|doctor
   iola yandex services
   iola yandex enable disk mail calendar
@@ -3284,37 +3313,86 @@ function printYandexServices(options = {}) {
 async function setupYandexConnector(args = []) {
   const options = parseOptions(args);
   const config = await loadConfig();
-  let services = normalizeYandexServiceList(options._);
-
-  if (process.stdin.isTTY && services.length === 0) {
-    console.log("Yandex Connector: выберите функции Яндекса.");
-    printYandexServices();
-    const answer = await askText("Сервисы через запятую [identity,disk]: ");
-    services = normalizeYandexServiceList(answer.trim() ? answer.split(/[,\s]+/) : ["identity", "disk"]);
-  }
-
-  if (services.length === 0) services = ["identity", "disk"];
-  await saveYandexEnabledServices(services);
-
-  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || (process.stdin.isTTY ? (await askText("Yandex OAuth Client ID [Enter - пропустить]: ")).trim() : "");
+  const oauthApps = getConfiguredYandexOAuthApps();
+  const authorizedServices = getYandexOAuthCapableServiceIds();
+  const enabledServices = config.yandex?.enabledServices?.length ? config.yandex.enabledServices : ["identity", "disk"];
+  await saveYandexAuthorizedServices(authorizedServices);
+  await saveYandexEnabledServices(enabledServices);
+
+  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || oauthApps[0]?.clientId || "";
+  const redirectUrl = options["redirect-url"] || getYandexConnectorRedirectUrl();
   if (clientId) {
     await saveConfig({
       yandex: {
         ...(config.yandex || {}),
-        oauth: { ...(config.yandex?.oauth || {}), clientId, redirectUrl: YANDEX_OAUTH_REDIRECT_URL },
+        oauth: { ...(config.yandex?.oauth || {}), clientId, redirectUrl },
       },
     });
   }
 
   console.log("Yandex Connector настроен.");
-  console.log(`Включены сервисы: ${services.join(", ")}`);
-  if (clientId) {
-    const url = buildYandexOAuthUrl({ clientId, services });
-    console.log("Откройте ссылку авторизации, получите OAuth-токен и сохраните его командой: iola yandex token set");
-    console.log(url);
-    if (options.open) await openUrl(url);
+  console.log(`OAuth-права встроенного приложения: ${authorizedServices.join(", ")}`);
+  console.log(`Активные функции CLI: ${normalizeYandexServiceList(enabledServices).join(", ")}`);
+  console.log("Выбрать активные функции можно командой /yandex или iola yandex menu.");
+  if (clientId || oauthApps.length) {
+    if (process.stdin.isTTY && !options["print-url"]) {
+      console.log("Открываю браузер для входа в Яндекс. После авторизации токен сохранится автоматически.");
+      for (const app of oauthApps.length ? oauthApps : [{ id: "custom", title: "Yandex Connector", clientId, services: authorizedServices }]) {
+        console.log(`Авторизация: ${app.title}`);
+        await runYandexBrowserOAuth({ appId: app.id, clientId: app.clientId, services: app.services, redirectUrl });
+      }
+      await printYandexConnectorStatus({ check: true });
+    } else {
+      const app = oauthApps[0] || { clientId, services: authorizedServices };
+      const url = buildYandexOAuthUrl({ clientId: app.clientId, services: app.services, redirectUrl });
+      console.log("Откройте ссылку авторизации, получите OAuth-токен и сохраните его командой: iola yandex token set");
+      console.log(url);
+      if (options.open) await openUrl(url);
+    }
+  } else {
+    console.log("Yandex Connector не может открыть браузер: в этой сборке не задан public OAuth client_id приложения IOLA.");
+    console.log("Нужно один раз зарегистрировать OAuth-приложение IOLA и задать IOLA_YANDEX_OAUTH_CLIENT_ID при сборке/запуске CLI.");
+    console.log("Ручной fallback для разработки: iola yandex setup --client-id CLIENT_ID");
+  }
+}
+
+async function chooseYandexServicesMenu() {
+  if (!process.stdin.isTTY) {
+    await printYandexConnectorStatus();
+    return;
+  }
+  const config = await loadConfig();
+  const serviceIds = Object.keys(YANDEX_CONNECTOR_SERVICES);
+  const enabled = new Set(config.yandex?.enabledServices?.length ? config.yandex.enabledServices : ["identity", "disk"]);
+  console.log("Yandex Connector: выберите сервисы.");
+  serviceIds.forEach((id, index) => {
+    const service = YANDEX_CONNECTOR_SERVICES[id];
+    const marker = enabled.has(id) ? "✓" : " ";
+    console.log(`${index + 1}. [${marker}] ${service.title} (${id}, ${service.status}) - ${service.hint}`);
+  });
+  console.log("0. Отмена");
+  const defaults = serviceIds.map((id, index) => enabled.has(id) ? String(index + 1) : "").filter(Boolean);
+  const answer = (await askText(`Номера через запятую [${defaults.join(",") || "1,2"}]: `)).trim();
+  if (answer === "0") {
+    console.log("Выбор сервисов отменен.");
+    return;
+  }
+  const selectedNumbers = answer ? answer.split(/[,\s]+/).filter(Boolean) : (defaults.length ? defaults : ["1", "2"]);
+  const selected = selectedNumbers.map((item) => {
+    const index = Number(item) - 1;
+    if (!Number.isInteger(index) || index < 0 || index >= serviceIds.length) {
+      throw new Error(`Неизвестный номер сервиса: ${item}`);
+    }
+    return serviceIds[index];
+  });
+  await saveYandexEnabledServices(selected);
+  console.log(`Включены сервисы: ${normalizeYandexServiceList(selected).join(", ")}`);
+  const nextConfig = await loadConfig();
+  if (nextConfig.yandex?.oauth?.clientId) {
+    console.log("OAuth-ссылка с максимальными правами коннектора:");
+    console.log(await buildYandexOAuthUrlFromConfig([]));
   } else {
-    console.log("Client ID не задан. Создайте OAuth-приложение Яндекса и запустите: iola yandex oauth-url --client-id CLIENT_ID");
+    console.log("Для авторизации создайте OAuth Client ID и выполните: iola yandex oauth-url --client-id CLIENT_ID");
   }
 }
 
@@ -3347,25 +3425,132 @@ async function saveYandexEnabledServices(services) {
   });
 }
 
+async function saveYandexAuthorizedServices(services) {
+  const config = await loadConfig();
+  const normalized = normalizeYandexServiceList(services.length ? services : getYandexOAuthCapableServiceIds());
+  await saveConfig({
+    yandex: {
+      ...(config.yandex || {}),
+      authorizedServices: normalized,
+    },
+  });
+}
+
 async function buildYandexOAuthUrlFromConfig(rawArgs = []) {
   const options = parseOptions(rawArgs);
   const config = await loadConfig();
-  const clientId = options["client-id"] || config.yandex?.oauth?.clientId;
+  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || YANDEX_CONNECTOR_CLIENT_ID;
   if (!clientId) throw new Error("Yandex OAuth Client ID не задан. Пример: iola yandex oauth-url disk --client-id CLIENT_ID");
-  const services = normalizeYandexServiceList(options._.length ? options._ : (config.yandex?.enabledServices || ["identity", "disk"]));
-  return buildYandexOAuthUrl({ clientId, services });
+  const services = normalizeYandexServiceList(options._.length ? options._ : (config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : getYandexOAuthCapableServiceIds()));
+  return buildYandexOAuthUrl({ clientId, services, redirectUrl: options["redirect-url"] || config.yandex?.oauth?.redirectUrl || YANDEX_OAUTH_REDIRECT_URL });
 }
 
-function buildYandexOAuthUrl({ clientId, services }) {
+function buildYandexOAuthUrl({ clientId, services, redirectUrl = YANDEX_OAUTH_REDIRECT_URL }) {
   const scopes = getYandexScopesForServices(services);
   const url = new URL(YANDEX_OAUTH_AUTHORIZE_URL);
   url.searchParams.set("response_type", "token");
   url.searchParams.set("client_id", clientId);
-  url.searchParams.set("redirect_uri", YANDEX_OAUTH_REDIRECT_URL);
+  url.searchParams.set("redirect_uri", redirectUrl);
   if (scopes) url.searchParams.set("scope", scopes);
   return url.toString();
 }
 
+function getYandexConnectorRedirectUrl() {
+  return `http://${YANDEX_CONNECTOR_REDIRECT_HOST}:${YANDEX_CONNECTOR_REDIRECT_PORT}${YANDEX_CONNECTOR_REDIRECT_PATH}`;
+}
+
+async function runYandexBrowserOAuth({ appId = "core", clientId, services, redirectUrl }) {
+  const token = await waitForYandexOAuthToken({ clientId, services, redirectUrl });
+  await setYandexConnectorToken(["--token", token, "--app", appId]);
+  console.log("Yandex Connector подключен.");
+}
+
+function waitForYandexOAuthToken({ clientId, services, redirectUrl }) {
+  return new Promise((resolvePromise, reject) => {
+    let settled = false;
+    const timeoutMs = 180000;
+    const server = createServer(async (req, res) => {
+      try {
+        const url = new URL(req.url || "/", redirectUrl);
+        if (url.pathname === YANDEX_CONNECTOR_REDIRECT_PATH && req.method === "GET") {
+          res.writeHead(200, { "content-type": "text/html; charset=utf-8" });
+          res.end(`<!doctype html>
+<html lang="ru"><head><meta charset="utf-8"><title>IOLA Yandex Connector</title></head>
+<body>
+<p>Передаю токен в iola-cli...</p>
+<script>
+(async () => {
+  const params = new URLSearchParams(location.hash.replace(/^#/, ""));
+  const token = params.get("access_token");
+  const error = params.get("error") || "";
+  await fetch("/yandex/oauth/token", {
+    method: "POST",
+    headers: { "content-type": "application/json" },
+    body: JSON.stringify({ token, error })
+  });
+  document.body.innerHTML = token
+    ? "<p>Yandex Connector подключен. Можно закрыть вкладку и вернуться в терминал.</p>"
+    : "<p>Не удалось получить токен. Вернитесь в терминал.</p>";
+})();
+</script>
+</body></html>`);
+          return;
+        }
+        if (url.pathname === "/yandex/oauth/token" && req.method === "POST") {
+          const chunks = [];
+          for await (const chunk of req) chunks.push(chunk);
+          const payload = JSON.parse(Buffer.concat(chunks).toString("utf8") || "{}");
+          if (payload.error) throw new Error(`Yandex OAuth error: ${payload.error}`);
+          if (!payload.token) throw new Error("Yandex OAuth token не получен.");
+          if (!settled) {
+            settled = true;
+            clearTimeout(timer);
+            resolvePromise(String(payload.token));
+          }
+          res.writeHead(200, { "content-type": "application/json" });
+          res.end(JSON.stringify({ ok: true }));
+          server.close();
+          return;
+        }
+        res.writeHead(404);
+        res.end("not found");
+      } catch (error) {
+        if (!settled) {
+          settled = true;
+          clearTimeout(timer);
+          reject(error);
+        }
+        res.writeHead(500, { "content-type": "text/plain; charset=utf-8" });
+        res.end(error instanceof Error ? error.message : String(error));
+        server.close();
+      }
+    });
+    const timer = setTimeout(() => {
+      if (!settled) {
+        settled = true;
+        server.close();
+        reject(new Error("Время ожидания авторизации Яндекса истекло."));
+      }
+    }, timeoutMs);
+    server.on("error", (error) => {
+      clearTimeout(timer);
+      if (!settled) {
+        settled = true;
+        reject(error);
+      }
+    });
+    server.listen(YANDEX_CONNECTOR_REDIRECT_PORT, YANDEX_CONNECTOR_REDIRECT_HOST, async () => {
+      const authUrl = buildYandexOAuthUrl({ clientId, services, redirectUrl });
+      console.log(`Если браузер не открылся, откройте ссылку вручную: ${authUrl}`);
+      try {
+        await openUrl(authUrl);
+      } catch (error) {
+        console.log(`Не удалось открыть браузер автоматически: ${error instanceof Error ? error.message : String(error)}`);
+      }
+    });
+  });
+}
+
 function getYandexScopesForServices(services) {
   const scopes = new Set();
   const normalized = normalizeYandexServiceList(services);
@@ -3377,21 +3562,47 @@ function getYandexScopesForServices(services) {
   return [...scopes].join(" ");
 }
 
+function getYandexOAuthCapableServiceIds() {
+  return [...new Set(getConfiguredYandexOAuthApps().flatMap((app) => app.services))];
+}
+
+function getConfiguredYandexOAuthApps() {
+  return YANDEX_CONNECTOR_OAUTH_APPS
+    .filter((app) => app.clientId)
+    .map((app) => ({ ...app, services: normalizeYandexServiceList(app.services) }));
+}
+
+function getYandexOAuthAppById(appId) {
+  return getConfiguredYandexOAuthApps().find((app) => app.id === appId)
+    || YANDEX_CONNECTOR_OAUTH_APPS.find((app) => app.id === appId)
+    || null;
+}
+
 async function setYandexConnectorToken(args = []) {
   const options = parseOptions(args);
+  const appId = options.app || "core";
   const token = options.token || (process.stdin.isTTY ? (await askText("Yandex OAuth token: ")).trim() : "");
   if (!token) throw new Error("OAuth token обязателен.");
+  const app = getYandexOAuthAppById(appId);
+  const appServices = normalizeYandexServiceList(app?.services || []);
+  const hasDiskAccess = appServices.includes("disk") || appId === "core";
   const secrets = await loadSecrets();
   secrets.yandex = secrets.yandex || {};
-  secrets.yandex.oauthToken = token;
+  secrets.yandex.oauthApps = secrets.yandex.oauthApps || {};
+  secrets.yandex.oauthApps[appId] = { token, updatedAt: new Date().toISOString() };
+  if (appId === "core") secrets.yandex.oauthToken = token;
   secrets.yandex.updatedAt = new Date().toISOString();
-  secrets.cloud = secrets.cloud || {};
-  secrets.cloud["yandex-disk"] = { token };
+  if (hasDiskAccess) {
+    secrets.cloud = secrets.cloud || {};
+    secrets.cloud["yandex-disk"] = { token };
+  }
   await saveSecrets(secrets);
-  const config = await loadConfig();
-  await saveConfig({ cloud: { ...(config.cloud || {}), activeProvider: "yandex-disk" } });
+  if (hasDiskAccess) {
+    const config = await loadConfig();
+    await saveConfig({ cloud: { ...(config.cloud || {}), activeProvider: "yandex-disk" } });
+  }
   console.log(`Yandex OAuth token сохранен локально: ${SECRETS_FILE}`);
-  console.log("Токен также подключен к cloud provider yandex-disk.");
+  if (hasDiskAccess) console.log("Токен также подключен к cloud provider yandex-disk.");
 }
 
 async function deleteYandexConnectorToken() {
@@ -3406,6 +3617,7 @@ async function deleteYandexConnectorToken() {
 async function printYandexConnectorStatus(options = {}) {
   const [config, secrets] = await Promise.all([loadConfig(), loadSecrets()]);
   const enabled = config.yandex?.enabledServices || [];
+  const authorized = config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : [];
   const legacyDiskToken = Boolean(secrets.cloud?.["yandex-disk"]?.token && !secrets.yandex?.oauthToken);
   const token = process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || secrets.cloud?.["yandex-disk"]?.token || "";
   const rows = Object.entries(YANDEX_CONNECTOR_SERVICES).map(([id, service]) => ({
@@ -3413,7 +3625,8 @@ async function printYandexConnectorStatus(options = {}) {
     enabled: enabled.includes(id) ? "yes" : (legacyDiskToken && id === "disk" ? "legacy" : "no"),
     category: service.category,
     status: service.status,
-    token: service.scope && (enabled.includes(id) || (legacyDiskToken && id === "disk")) ? (token ? "local/env" : "missing") : "-",
+    token: service.scope && (authorized.includes(id) || enabled.includes(id) || (legacyDiskToken && id === "disk")) ? (token ? "local/env" : "missing") : "-",
+    authorized: authorized.includes(id) ? "yes" : "-",
     title: service.title,
   }));
   printTable(rows, [
@@ -3421,6 +3634,7 @@ async function printYandexConnectorStatus(options = {}) {
     ["enabled", "Вкл"],
     ["category", "Категория"],
     ["status", "Статус"],
+    ["authorized", "Права"],
     ["token", "Токен"],
     ["title", "Сервис"],
   ]);
@@ -11189,12 +11403,12 @@ function parseOptions(args) {
 
   for (let index = 0; index < args.length; index += 1) {
     const arg = args[index];
-    if (arg === "--json" || arg === "--yes" || arg === "--silent" || arg === "--events" || arg === "--stream-json" || arg === "--stdio" || arg === "--system" || arg === "--headed" || arg === "--headless" || arg === "--no-history" || arg === "--summary" || arg === "--all" || arg === "--full" || arg === "--unread" || arg === "--once" || arg === "--local" || arg === "--cache" || arg === "--tools" || arg === "--files" || arg === "--plan" || arg === "--trace" || arg === "--diff" || arg === "--stage" || arg === "--fts" || arg === "--bare" || arg === "--quiet" || arg === "--optional" || arg === "--project" || arg === "--dry-run" || arg === "--no-color" || arg === "--fail-on-empty" || arg === "--debug" || arg === "--fix" || arg === "--append" || arg === "--preserve-active" || arg === "--open") {
+    if (arg === "--json" || arg === "--yes" || arg === "--silent" || arg === "--events" || arg === "--stream-json" || arg === "--stdio" || arg === "--system" || arg === "--headed" || arg === "--headless" || arg === "--no-history" || arg === "--summary" || arg === "--all" || arg === "--full" || arg === "--unread" || arg === "--once" || arg === "--local" || arg === "--cache" || arg === "--tools" || arg === "--files" || arg === "--plan" || arg === "--trace" || arg === "--diff" || arg === "--stage" || arg === "--fts" || arg === "--bare" || arg === "--quiet" || arg === "--optional" || arg === "--project" || arg === "--dry-run" || arg === "--no-color" || arg === "--fail-on-empty" || arg === "--debug" || arg === "--fix" || arg === "--append" || arg === "--preserve-active" || arg === "--open" || arg === "--print-url") {
       result[arg.slice(2)] = true;
     } else if (arg === "--check" || arg === "--upgrade-node") {
       result.check = true;
       result[arg.slice(2)] = true;
-    } else if (arg === "--limit" || arg === "--offset" || arg === "--search" || arg === "--replace" || arg === "--text" || arg === "--path" || arg === "--depth" || arg === "--max-bytes" || arg === "--query" || arg === "--where" || arg === "--columns" || arg === "--inn" || arg === "--model" || arg === "--provider" || arg === "--profile" || arg === "--name" || arg === "--source" || arg === "--command" || arg === "--prompt" || arg === "--description" || arg === "--base-url" || arg === "--repo" || arg === "--model-dir" || arg === "--sandbox" || arg === "--approval" || arg === "--cwd" || arg === "--codex-profile" || arg === "--format" || arg === "--output" || arg === "--schema" || arg === "--session" || arg === "--temperature" || arg === "--config" || arg === "--dataset" || arg === "--save" || arg === "--reasoning" || arg === "--agent" || arg === "--scope" || arg === "--selector" || arg === "--url" || arg === "--timeout" || arg === "--wait" || arg === "--viewport" || arg === "--press" || arg === "--script" || arg === "--auth-url" || arg === "--token-url" || arg === "--userinfo-url" || arg === "--client-id" || arg === "--client-secret" || arg === "--redirect-host" || arg === "--redirect-port" || arg === "--redirect-path" || arg === "--debug-file" || arg === "--from" || arg === "--to" || arg === "--radius" || arg === "--address" || arg === "--token") {
+    } else if (arg === "--limit" || arg === "--offset" || arg === "--search" || arg === "--replace" || arg === "--text" || arg === "--path" || arg === "--depth" || arg === "--max-bytes" || arg === "--query" || arg === "--where" || arg === "--columns" || arg === "--inn" || arg === "--model" || arg === "--provider" || arg === "--profile" || arg === "--name" || arg === "--source" || arg === "--command" || arg === "--prompt" || arg === "--description" || arg === "--base-url" || arg === "--repo" || arg === "--model-dir" || arg === "--sandbox" || arg === "--approval" || arg === "--cwd" || arg === "--codex-profile" || arg === "--format" || arg === "--output" || arg === "--schema" || arg === "--session" || arg === "--temperature" || arg === "--config" || arg === "--dataset" || arg === "--save" || arg === "--reasoning" || arg === "--agent" || arg === "--scope" || arg === "--selector" || arg === "--url" || arg === "--timeout" || arg === "--wait" || arg === "--viewport" || arg === "--press" || arg === "--script" || arg === "--auth-url" || arg === "--token-url" || arg === "--userinfo-url" || arg === "--client-id" || arg === "--client-secret" || arg === "--redirect-url" || arg === "--redirect-host" || arg === "--redirect-port" || arg === "--redirect-path" || arg === "--debug-file" || arg === "--from" || arg === "--to" || arg === "--radius" || arg === "--address" || arg === "--token" || arg === "--app") {
       result[arg.slice(2)] = args[index + 1];
       index += 1;
     } else {
@@ -13219,6 +13433,9 @@ function validateConfig(config) {
   for (const service of config.yandex?.enabledServices || []) {
     if (!YANDEX_CONNECTOR_SERVICES[service]) errors.push(`yandex.enabledServices содержит неизвестный сервис: ${service}`);
   }
+  for (const service of config.yandex?.authorizedServices || []) {
+    if (!YANDEX_CONNECTOR_SERVICES[service]) errors.push(`yandex.authorizedServices содержит неизвестный сервис: ${service}`);
+  }
   return errors;
 }
 

package/test/smoke-test.js

@@ -57,10 +57,21 @@ assertIncludes(cliSource, "isOpenAiTextGenerationModel", "OpenAI model selection
 assertIncludes(cliSource, "dedupeDatedOpenAiModels", "OpenAI model selection should hide dated duplicates when aliases exist");
 assertIncludes(cliSource, "chooseLocalModel", "Local model selection should support IOLA and Ollama models");
 assertIncludes(cliSource, "Другая Ollama-модель", "Local model selection should allow manual Ollama model names");
+assertIncludes(cliSource, "chooseYandexServicesMenu", "Yandex Connector should have a service selection menu");
+assertIncludes(cliSource, "OAuth-права встроенного приложения", "Yandex setup should report packaged OAuth app permissions");
+assertIncludes(cliSource, "Выбрать активные функции можно командой /yandex", "Yandex setup should direct service selection to /yandex");
+assertIncludes(cliSource, "runYandexBrowserOAuth", "Yandex setup should support browser OAuth flow");
+assertIncludes(cliSource, "IOLA_YANDEX_OAUTH_CLIENT_ID", "Yandex setup should use a packaged/env OAuth client id");
+assertIncludes(cliSource, "--app", "Yandex token command should persist tokens by OAuth app group");
+assertNotIncludes(cliSource, "Сервисы через запятую [identity,disk]", "Yandex setup should not ask for services during connector setup");
+if (!packageJson.files.includes("docs/assets/iola-oauth-icon.png")) {
+  throw new Error("package files should include the Yandex OAuth icon");
+}
 
 const commands = await runCli(["commands"]);
 assertIncludes(commands, "iola browser status|install|open|text|html|screenshot|pdf|click|type|eval", "commands");
 assertIncludes(commands, "iola mcp list|status|install|remove|serve [--stdio]", "commands");
+assertIncludes(commands, "iola yandex setup|menu|status|services|enable|disable|oauth-url|token", "commands");
 assertIncludes(commands, "iola delete", "commands");
 assertNotIncludes(commands, "iola uninstall", "commands");
 assertNotIncludes(commands, "Госуслуг", "commands");

package/wiki/Yandex-Connector.md

@@ -2,7 +2,7 @@
 
 `Yandex Connector` - единая точка подключения пользовательских сервисов Яндекса в `iola-cli`.
 
-Цель: пользователь один раз настраивает вход через Яндекс, а CLI хранит токен локально и включает только выбранные категории функций.
+Цель: пользователь подключает сервисы Яндекса через обычный вход в браузере, а CLI хранит OAuth-токены локально. Какие функции CLI реально использует, пользователь выбирает отдельно через `/yandex`.
 
 Секреты сохраняются только на компьютере пользователя в `~/.iola/secrets.json`. Они не отправляются на сервер IOLA и не попадают в `iola cloud backup`.
 
@@ -11,6 +11,7 @@
 ```bash
 iola yandex services
 iola yandex setup
+iola yandex menu
 iola yandex status
 iola yandex doctor
 iola yandex enable disk mail calendar
@@ -50,28 +51,41 @@ Backlog после первого контура:
 
 ## Как подключить
 
-1. Создайте OAuth-приложение Яндекса по инструкции на странице [Облачные диски](Облачные-диски).
-2. Включите нужные scope. Для первого контура нужны:
+1. Запустите подключение. Оно не спрашивает список сервисов, а открывает браузер для входа в Яндекс:
+
+```bash
+iola yandex setup
+```
+
+2. Авторизуйтесь в Яндексе и разрешите доступ. В текущем встроенном приложении `IOLA Yandex Core` запрашиваются права:
    - `login:info`;
    - `login:email`;
    - `cloud_api:disk.read`;
    - `cloud_api:disk.write`;
-   - `cloud_api:disk.info`.
-3. Запустите:
+   - `cloud_api:disk.info`;
+   - `mail:imap_full`;
+   - `mail:smtp`.
+3. После успешной авторизации браузер вернется на локальную страницу `iola-cli`, а CLI сам сохранит OAuth-токен.
+4. Если автоматический браузерный flow недоступен, используйте fallback для разработки:
 
 ```bash
-iola yandex setup disk --client-id CLIENT_ID
+iola yandex setup --client-id CLIENT_ID --print-url
+iola yandex token set
 ```
 
-4. Откройте ссылку авторизации, которую выведет CLI.
-5. Скопируйте OAuth-токен.
-6. Сохраните токен:
+5. Выберите, какие функции CLI реально использует:
 
 ```bash
-iola yandex token set
+iola yandex menu
+```
+
+В интерактивном CLI это же меню открывается slash-командой:
+
+```text
+/yandex
 ```
 
-7. Проверьте:
+6. Проверьте:
 
 ```bash
 iola yandex doctor
@@ -80,10 +94,30 @@ iola cloud doctor
 
 Если включен `disk`, токен автоматически подключается и к старому облачному провайдеру `yandex-disk`, поэтому команды `iola cloud ...` продолжают работать.
 
+## Иконка приложения
+
+CLI поставляется с готовой иконкой OAuth-приложения. При установке она копируется в:
+
+```text
+~/.iola/assets/iola-oauth-icon.png
+```
+
+В репозитории файл лежит здесь:
+
+```text
+docs/assets/iola-oauth-icon.png
+```
+
+Если создается новое OAuth-приложение Яндекса вручную, эту иконку можно указать в поле "Иконка сервиса".
+
 ## Важно
 
 Yandex Connector не является универсальным ключом ко всему Яндексу.
 
 Обычные пользовательские сервисы работают через OAuth и scope. Yandex Cloud, YandexGPT и Geocoder требуют отдельные ключи, folder ID или настройки в Yandex Cloud.
 
+Для браузерного подключения в сборке CLI уже указан public OAuth `client_id` приложения IOLA. Это не секретный ключ. Пользователь не должен создавать OAuth-приложение вручную.
+
+Яндекс ограничивает количество разных групп сервисов в одном OAuth-приложении. Поэтому один токен не всегда может покрыть Диск, Почту, Календарь, Контакты, Wiki, Tracker и Forms сразу. CLI поддерживает группировку по нескольким OAuth-приложениям; текущий первый контур - `identity`, `disk`, `mail`.
+
 CLI не должен автоматически оформлять покупки, вызывать такси, подтверждать доставку или выполнять платежи. Для таких сценариев допустима только подготовка ссылки, маршрута или списка, а финальное действие делает пользователь в приложении Яндекса.

package/wiki//320/232/320/276/320/274/320/260/320/275/320/264/321/213.md

@@ -64,6 +64,7 @@ Yandex Connector:
 ```bash
 iola yandex services
 iola yandex setup
+iola yandex menu
 iola yandex status
 iola yandex doctor
 iola yandex enable disk mail calendar

package/wiki//320/234/320/260/321/201/321/202/320/265/321/200-/320/275/320/260/321/201/321/202/321/200/320/276/320/271/320/272/320/270.md

@@ -114,6 +114,8 @@ iola index folder ./docs
 - Yandex ID;
 - Яндекс Диск.
 
+Мастер не спрашивает список сервисов. Он подключает коннектор с максимальным набором OAuth-прав, а активные функции CLI выбираются позже командой `/yandex` в интерактивном CLI или `iola yandex menu` в терминале.
+
 В коннектор также заложены категории для проверки: Почта, Календарь, Контакты, Wiki, Tracker, Forms, Документы/360. Такси, Маркет и Доставка записаны в backlog только как подготовка ссылки, маршрута или списка без заказа и оплаты.
 
 Инструкция: [Yandex Connector](Yandex-Connector).