@iola_adm/iola-cli 0.2.14 → 0.2.16

package/README.md

@@ -188,7 +188,7 @@ iola cloud backup
 
 Инструкция: [Облачные диски](https://github.com/adm-iola/iola-cli/wiki/Облачные-диски).
 
-Yandex Connector при подключении запрашивает максимальный набор OAuth-прав для пользовательских сервисов Яндекса. Какие функции CLI реально использует, выбирается отдельно:
+Yandex Connector открывает браузер, авторизует пользователя в Яндексе и сохраняет OAuth-токен локально. Какие функции CLI реально использует, выбирается отдельно:
 
 ```bash
 iola yandex services
@@ -197,7 +197,9 @@ iola yandex menu
 iola yandex status
 ```
 
-Первый контур: Yandex ID и Яндекс Диск. Почта, календарь, контакты, Wiki, Tracker, Forms и документы 360 заложены как категории для проверки. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
+Первый контур: Yandex ID, Яндекс Диск и Яндекс Почта. Календарь, контакты, Wiki, Tracker, Forms и документы 360 заложены как категории для проверки и могут потребовать отдельное OAuth-приложение Яндекса. Такси, Маркет и Доставка записаны в backlog только как сценарии подготовки ссылки/маршрута/списка без заказа и оплаты.
+
+В `/yandex` функции выбираются номерами через запятую, как в мастере настройки. OAuth-права сами по себе не создают функциональность: под каждый сервис нужны отдельные команды и тулы.
 
 Инструкция: [Yandex Connector](https://github.com/adm-iola/iola-cli/wiki/Yandex-Connector).
 

package/bin/postinstall.js

@@ -1,10 +1,14 @@
 #!/usr/bin/env node
 import { spawn } from "node:child_process";
 import { fileURLToPath } from "node:url";
-import { dirname, resolve } from "node:path";
+import { copyFileSync, existsSync, mkdirSync } from "node:fs";
+import { dirname, join, resolve } from "node:path";
+import os from "node:os";
 
 const rootDir = resolve(dirname(fileURLToPath(import.meta.url)), "..");
 const cliPath = resolve(rootDir, "bin", "iola.js");
+const oauthIconSource = resolve(rootDir, "docs", "assets", "iola-oauth-icon.png");
+const oauthIconTarget = join(os.homedir(), ".iola", "assets", "iola-oauth-icon.png");
 const node = process.execPath;
 const frames = ["|", "/", "-", "\\"];
 
@@ -21,6 +25,10 @@ const steps = [
     title: "Проверка локальной модели IOLA",
     args: [cliPath, "ai", "setup", "iola", "--yes", "--quiet", "--optional", "--preserve-active"],
   },
+  {
+    title: "Установка иконки Yandex OAuth",
+    local: installOauthIcon,
+  },
 ];
 
 const canAnimate = process.stdout.isTTY && process.env.CI !== "true";
@@ -52,9 +60,11 @@ async function runStep(step, current, total) {
   }
   render();
   const timer = setInterval(render, 120);
-  const result = await run(node, ["--no-warnings", ...step.args], (chunk) => {
-    lastOutput = chunk.trim() || lastOutput;
-  });
+  const result = step.local
+    ? await runLocalStep(step.local)
+    : await run(node, ["--no-warnings", ...step.args], (chunk) => {
+      lastOutput = chunk.trim() || lastOutput;
+    });
   clearInterval(timer);
 
   if (result.code !== 0) {
@@ -71,6 +81,21 @@ async function runStep(step, current, total) {
   }
 }
 
+async function runLocalStep(fn) {
+  try {
+    await fn();
+    return { code: 0 };
+  } catch (error) {
+    return { code: 1, error };
+  }
+}
+
+function installOauthIcon() {
+  if (!existsSync(oauthIconSource)) return;
+  mkdirSync(dirname(oauthIconTarget), { recursive: true });
+  copyFileSync(oauthIconSource, oauthIconTarget);
+}
+
 function run(command, args, onOutput) {
   return new Promise((resolvePromise) => {
     const child = spawn(command, args, {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@iola_adm/iola-cli",
-  "version": "0.2.14",
+  "version": "0.2.16",
   "description": "CLI и AI-агент городского округа Йошкар-Ола.",
   "license": "MIT",
   "homepage": "https://github.com/adm-iola/iola-cli#readme",
@@ -27,6 +27,7 @@
     "skills",
     "wiki",
     "docs/assets/readme-header.png",
+    "docs/assets/iola-oauth-icon.png",
     "README.md",
     "LICENSE"
   ],

package/src/cli.js

@@ -42,6 +42,11 @@ const BROWSER_RUNTIME_PACKAGE = path.join(BROWSER_RUNTIME_DIR, "node_modules", "
 const CLOUD_DEFAULT_REMOTE_DIR = "/IOLA";
 const YANDEX_OAUTH_AUTHORIZE_URL = "https://oauth.yandex.ru/authorize";
 const YANDEX_OAUTH_REDIRECT_URL = "https://oauth.yandex.ru/verification_code";
+const YANDEX_CONNECTOR_CLIENT_ID = process.env.IOLA_YANDEX_OAUTH_CLIENT_ID || process.env.YANDEX_OAUTH_CLIENT_ID || "915b0b6ef0474f3a9b3edd70515c5d60";
+const YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID = process.env.IOLA_YANDEX_WORKSPACE_OAUTH_CLIENT_ID || "";
+const YANDEX_CONNECTOR_REDIRECT_HOST = "127.0.0.1";
+const YANDEX_CONNECTOR_REDIRECT_PORT = Number(process.env.IOLA_YANDEX_OAUTH_PORT || 18791);
+const YANDEX_CONNECTOR_REDIRECT_PATH = "/yandex/oauth/callback";
 const YANDEX_CONNECTOR_SERVICES = {
   identity: {
     title: "Yandex ID",
@@ -149,6 +154,20 @@ const YANDEX_CONNECTOR_SERVICES = {
     hint: "только подготовка заявки/ссылки, без оформления и оплаты",
   },
 };
+const YANDEX_CONNECTOR_OAUTH_APPS = [
+  {
+    id: "core",
+    title: "IOLA Yandex Core",
+    clientId: YANDEX_CONNECTOR_CLIENT_ID,
+    services: ["identity", "disk", "mail"],
+  },
+  {
+    id: "workspace",
+    title: "IOLA Yandex Workspace",
+    clientId: YANDEX_CONNECTOR_WORKSPACE_CLIENT_ID,
+    services: ["contacts", "wiki", "tracker", "forms", "docs"],
+  },
+];
 const INDEXABLE_EXTENSIONS = /\.(md|txt|csv|json|html|docx|xlsx|pptx|pdf)$/i;
 const LOCAL_TOOLS = ["search_data", "search_entities", "resolve_entity_field", "get_card", "export_report", "file_read", "browser_open", "get_current_date"];
 const LEGACY_LOCAL_TOOLS = ["search_local", "export_data", "run_report", "save_view"];
@@ -3294,32 +3313,46 @@ function printYandexServices(options = {}) {
 async function setupYandexConnector(args = []) {
   const options = parseOptions(args);
   const config = await loadConfig();
+  const oauthApps = getConfiguredYandexOAuthApps();
   const authorizedServices = getYandexOAuthCapableServiceIds();
   const enabledServices = config.yandex?.enabledServices?.length ? config.yandex.enabledServices : ["identity", "disk"];
   await saveYandexAuthorizedServices(authorizedServices);
   await saveYandexEnabledServices(enabledServices);
 
-  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || (process.stdin.isTTY ? (await askText("Yandex OAuth Client ID [Enter - пропустить]: ")).trim() : "");
+  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || oauthApps[0]?.clientId || "";
+  const redirectUrl = options["redirect-url"] || getYandexConnectorRedirectUrl();
   if (clientId) {
     await saveConfig({
       yandex: {
         ...(config.yandex || {}),
-        oauth: { ...(config.yandex?.oauth || {}), clientId, redirectUrl: YANDEX_OAUTH_REDIRECT_URL },
+        oauth: { ...(config.yandex?.oauth || {}), clientId, redirectUrl },
       },
     });
   }
 
   console.log("Yandex Connector настроен.");
-  console.log(`Запрошены максимальные OAuth-права: ${authorizedServices.join(", ")}`);
+  console.log(`OAuth-права встроенного приложения: ${authorizedServices.join(", ")}`);
   console.log(`Активные функции CLI: ${normalizeYandexServiceList(enabledServices).join(", ")}`);
   console.log("Выбрать активные функции можно командой /yandex или iola yandex menu.");
-  if (clientId) {
-    const url = buildYandexOAuthUrl({ clientId, services: authorizedServices });
-    console.log("Откройте ссылку авторизации, получите OAuth-токен и сохраните его командой: iola yandex token set");
-    console.log(url);
-    if (options.open) await openUrl(url);
+  if (clientId || oauthApps.length) {
+    if (process.stdin.isTTY && !options["print-url"]) {
+      console.log("Открываю браузер для входа в Яндекс. После авторизации токен сохранится автоматически.");
+      for (const app of oauthApps.length ? oauthApps : [{ id: "custom", title: "Yandex Connector", clientId, services: authorizedServices }]) {
+        console.log(`Авторизация: ${app.title}`);
+        await runYandexBrowserOAuth({ appId: app.id, clientId: app.clientId, services: app.services, redirectUrl });
+      }
+      await printYandexConnectorStatus({ check: true });
+    } else {
+      const app = oauthApps[0] || { clientId, services: authorizedServices };
+      const url = buildYandexOAuthUrl({ clientId: app.clientId, services: app.services, redirectUrl });
+      console.log("Откройте ссылку авторизации, получите OAuth-токен и сохраните его командой: iola yandex token set");
+      console.log(url);
+      if (options.open) await openUrl(url);
+    }
   } else {
-    console.log("Client ID не задан. Создайте OAuth-приложение Яндекса и запустите: iola yandex oauth-url --client-id CLIENT_ID");
+    console.log("Yandex Connector не может открыть браузер: в этой сборке не задан public OAuth client_id приложения IOLA.");
+    console.log("Нужно один раз зарегистрировать OAuth-приложение IOLA и задать IOLA_YANDEX_OAUTH_CLIENT_ID при сборке/запуске CLI.");
+    console.log("Ручной fallback для разработки: iola yandex setup --client-id CLIENT_ID");
   }
 }
 
@@ -3331,11 +3364,15 @@ async function chooseYandexServicesMenu() {
   const config = await loadConfig();
   const serviceIds = Object.keys(YANDEX_CONNECTOR_SERVICES);
   const enabled = new Set(config.yandex?.enabledServices?.length ? config.yandex.enabledServices : ["identity", "disk"]);
-  console.log("Yandex Connector: выберите сервисы.");
+  const authState = await getYandexServiceAuthState();
+  console.log("Функции Яндекса.");
+  console.log("Выберите номера функций через запятую:");
   serviceIds.forEach((id, index) => {
     const service = YANDEX_CONNECTOR_SERVICES[id];
     const marker = enabled.has(id) ? "✓" : " ";
-    console.log(`${index + 1}. [${marker}] ${service.title} (${id}, ${service.status}) - ${service.hint}`);
+    const auth = authState.byService[id];
+    const authLabel = auth?.hasToken ? "подключено" : (auth?.authorized ? "нужен вход" : "нет прав");
+    console.log(`${index + 1}. [${marker}] ${service.title} - ${service.hint} (${service.status}, ${authLabel})`);
   });
   console.log("0. Отмена");
   const defaults = serviceIds.map((id, index) => enabled.has(id) ? String(index + 1) : "").filter(Boolean);
@@ -3354,13 +3391,10 @@ async function chooseYandexServicesMenu() {
   });
   await saveYandexEnabledServices(selected);
   console.log(`Включены сервисы: ${normalizeYandexServiceList(selected).join(", ")}`);
-  const nextConfig = await loadConfig();
-  if (nextConfig.yandex?.oauth?.clientId) {
-    console.log("OAuth-ссылка с максимальными правами коннектора:");
-    console.log(await buildYandexOAuthUrlFromConfig([]));
-  } else {
-    console.log("Для авторизации создайте OAuth Client ID и выполните: iola yandex oauth-url --client-id CLIENT_ID");
-  }
+  const missingAuth = selected.filter((id) => !authState.byService[id]?.authorized);
+  const missingToken = selected.filter((id) => authState.byService[id]?.authorized && !authState.byService[id]?.hasToken);
+  if (missingAuth.length) console.log(`Нет OAuth-прав в текущей сборке: ${missingAuth.join(", ")}. Для них нужно отдельное OAuth-приложение Яндекса.`);
+  if (missingToken.length) console.log(`Нужно пройти вход Яндекса для: ${missingToken.join(", ")}. Запустите iola yandex setup.`);
 }
 
 async function updateYandexEnabledServices(rawServices, enabled) {
@@ -3406,22 +3440,120 @@ async function saveYandexAuthorizedServices(services) {
 async function buildYandexOAuthUrlFromConfig(rawArgs = []) {
   const options = parseOptions(rawArgs);
   const config = await loadConfig();
-  const clientId = options["client-id"] || config.yandex?.oauth?.clientId;
+  const clientId = options["client-id"] || config.yandex?.oauth?.clientId || YANDEX_CONNECTOR_CLIENT_ID;
   if (!clientId) throw new Error("Yandex OAuth Client ID не задан. Пример: iola yandex oauth-url disk --client-id CLIENT_ID");
-  const services = normalizeYandexServiceList(options._.length ? options._ : (config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : getYandexOAuthCapableServiceIds()));
-  return buildYandexOAuthUrl({ clientId, services });
+  const capableServices = getYandexOAuthCapableServiceIds();
+  const requestedServices = normalizeYandexServiceList(options._.length ? options._ : capableServices);
+  const services = requestedServices.filter((id) => capableServices.includes(id));
+  return buildYandexOAuthUrl({ clientId, services, redirectUrl: options["redirect-url"] || config.yandex?.oauth?.redirectUrl || YANDEX_OAUTH_REDIRECT_URL });
 }
 
-function buildYandexOAuthUrl({ clientId, services }) {
+function buildYandexOAuthUrl({ clientId, services, redirectUrl = YANDEX_OAUTH_REDIRECT_URL }) {
   const scopes = getYandexScopesForServices(services);
   const url = new URL(YANDEX_OAUTH_AUTHORIZE_URL);
   url.searchParams.set("response_type", "token");
   url.searchParams.set("client_id", clientId);
-  url.searchParams.set("redirect_uri", YANDEX_OAUTH_REDIRECT_URL);
+  url.searchParams.set("redirect_uri", redirectUrl);
   if (scopes) url.searchParams.set("scope", scopes);
   return url.toString();
 }
 
+function getYandexConnectorRedirectUrl() {
+  return `http://${YANDEX_CONNECTOR_REDIRECT_HOST}:${YANDEX_CONNECTOR_REDIRECT_PORT}${YANDEX_CONNECTOR_REDIRECT_PATH}`;
+}
+
+async function runYandexBrowserOAuth({ appId = "core", clientId, services, redirectUrl }) {
+  const token = await waitForYandexOAuthToken({ clientId, services, redirectUrl });
+  await setYandexConnectorToken(["--token", token, "--app", appId]);
+  console.log("Yandex Connector подключен.");
+}
+
+function waitForYandexOAuthToken({ clientId, services, redirectUrl }) {
+  return new Promise((resolvePromise, reject) => {
+    let settled = false;
+    const timeoutMs = 180000;
+    const server = createServer(async (req, res) => {
+      try {
+        const url = new URL(req.url || "/", redirectUrl);
+        if (url.pathname === YANDEX_CONNECTOR_REDIRECT_PATH && req.method === "GET") {
+          res.writeHead(200, { "content-type": "text/html; charset=utf-8" });
+          res.end(`<!doctype html>
+<html lang="ru"><head><meta charset="utf-8"><title>IOLA Yandex Connector</title></head>
+<body>
+<p>Передаю токен в iola-cli...</p>
+<script>
+(async () => {
+  const params = new URLSearchParams(location.hash.replace(/^#/, ""));
+  const token = params.get("access_token");
+  const error = params.get("error") || "";
+  await fetch("/yandex/oauth/token", {
+    method: "POST",
+    headers: { "content-type": "application/json" },
+    body: JSON.stringify({ token, error })
+  });
+  document.body.innerHTML = token
+    ? "<p>Yandex Connector подключен. Можно закрыть вкладку и вернуться в терминал.</p>"
+    : "<p>Не удалось получить токен. Вернитесь в терминал.</p>";
+})();
+</script>
+</body></html>`);
+          return;
+        }
+        if (url.pathname === "/yandex/oauth/token" && req.method === "POST") {
+          const chunks = [];
+          for await (const chunk of req) chunks.push(chunk);
+          const payload = JSON.parse(Buffer.concat(chunks).toString("utf8") || "{}");
+          if (payload.error) throw new Error(`Yandex OAuth error: ${payload.error}`);
+          if (!payload.token) throw new Error("Yandex OAuth token не получен.");
+          if (!settled) {
+            settled = true;
+            clearTimeout(timer);
+            resolvePromise(String(payload.token));
+          }
+          res.writeHead(200, { "content-type": "application/json" });
+          res.end(JSON.stringify({ ok: true }));
+          server.close();
+          return;
+        }
+        res.writeHead(404);
+        res.end("not found");
+      } catch (error) {
+        if (!settled) {
+          settled = true;
+          clearTimeout(timer);
+          reject(error);
+        }
+        res.writeHead(500, { "content-type": "text/plain; charset=utf-8" });
+        res.end(error instanceof Error ? error.message : String(error));
+        server.close();
+      }
+    });
+    const timer = setTimeout(() => {
+      if (!settled) {
+        settled = true;
+        server.close();
+        reject(new Error("Время ожидания авторизации Яндекса истекло."));
+      }
+    }, timeoutMs);
+    server.on("error", (error) => {
+      clearTimeout(timer);
+      if (!settled) {
+        settled = true;
+        reject(error);
+      }
+    });
+    server.listen(YANDEX_CONNECTOR_REDIRECT_PORT, YANDEX_CONNECTOR_REDIRECT_HOST, async () => {
+      const authUrl = buildYandexOAuthUrl({ clientId, services, redirectUrl });
+      console.log(`Если браузер не открылся, откройте ссылку вручную: ${authUrl}`);
+      try {
+        await openUrl(authUrl);
+      } catch (error) {
+        console.log(`Не удалось открыть браузер автоматически: ${error instanceof Error ? error.message : String(error)}`);
+      }
+    });
+  });
+}
+
 function getYandexScopesForServices(services) {
   const scopes = new Set();
   const normalized = normalizeYandexServiceList(services);
@@ -3434,26 +3566,46 @@ function getYandexScopesForServices(services) {
 }
 
 function getYandexOAuthCapableServiceIds() {
-  return Object.entries(YANDEX_CONNECTOR_SERVICES)
-    .filter(([, service]) => service.scope)
-    .map(([id]) => id);
+  return [...new Set(getConfiguredYandexOAuthApps().flatMap((app) => app.services))];
+}
+
+function getConfiguredYandexOAuthApps() {
+  return YANDEX_CONNECTOR_OAUTH_APPS
+    .filter((app) => app.clientId)
+    .map((app) => ({ ...app, services: normalizeYandexServiceList(app.services) }));
+}
+
+function getYandexOAuthAppById(appId) {
+  return getConfiguredYandexOAuthApps().find((app) => app.id === appId)
+    || YANDEX_CONNECTOR_OAUTH_APPS.find((app) => app.id === appId)
+    || null;
 }
 
 async function setYandexConnectorToken(args = []) {
   const options = parseOptions(args);
+  const appId = options.app || "core";
   const token = options.token || (process.stdin.isTTY ? (await askText("Yandex OAuth token: ")).trim() : "");
   if (!token) throw new Error("OAuth token обязателен.");
+  const app = getYandexOAuthAppById(appId);
+  const appServices = normalizeYandexServiceList(app?.services || []);
+  const hasDiskAccess = appServices.includes("disk") || appId === "core";
   const secrets = await loadSecrets();
   secrets.yandex = secrets.yandex || {};
-  secrets.yandex.oauthToken = token;
+  secrets.yandex.oauthApps = secrets.yandex.oauthApps || {};
+  secrets.yandex.oauthApps[appId] = { token, updatedAt: new Date().toISOString() };
+  if (appId === "core") secrets.yandex.oauthToken = token;
   secrets.yandex.updatedAt = new Date().toISOString();
-  secrets.cloud = secrets.cloud || {};
-  secrets.cloud["yandex-disk"] = { token };
+  if (hasDiskAccess) {
+    secrets.cloud = secrets.cloud || {};
+    secrets.cloud["yandex-disk"] = { token };
+  }
   await saveSecrets(secrets);
-  const config = await loadConfig();
-  await saveConfig({ cloud: { ...(config.cloud || {}), activeProvider: "yandex-disk" } });
+  if (hasDiskAccess) {
+    const config = await loadConfig();
+    await saveConfig({ cloud: { ...(config.cloud || {}), activeProvider: "yandex-disk" } });
+  }
   console.log(`Yandex OAuth token сохранен локально: ${SECRETS_FILE}`);
-  console.log("Токен также подключен к cloud provider yandex-disk.");
+  if (hasDiskAccess) console.log("Токен также подключен к cloud provider yandex-disk.");
 }
 
 async function deleteYandexConnectorToken() {
@@ -3468,16 +3620,16 @@ async function deleteYandexConnectorToken() {
 async function printYandexConnectorStatus(options = {}) {
   const [config, secrets] = await Promise.all([loadConfig(), loadSecrets()]);
   const enabled = config.yandex?.enabledServices || [];
-  const authorized = config.yandex?.authorizedServices?.length ? config.yandex.authorizedServices : [];
   const legacyDiskToken = Boolean(secrets.cloud?.["yandex-disk"]?.token && !secrets.yandex?.oauthToken);
+  const authState = await getYandexServiceAuthState({ config, secrets });
   const token = process.env.YANDEX_OAUTH_TOKEN || secrets.yandex?.oauthToken || secrets.cloud?.["yandex-disk"]?.token || "";
   const rows = Object.entries(YANDEX_CONNECTOR_SERVICES).map(([id, service]) => ({
     id,
     enabled: enabled.includes(id) ? "yes" : (legacyDiskToken && id === "disk" ? "legacy" : "no"),
     category: service.category,
     status: service.status,
-    token: service.scope && (authorized.includes(id) || enabled.includes(id) || (legacyDiskToken && id === "disk")) ? (token ? "local/env" : "missing") : "-",
-    authorized: authorized.includes(id) ? "yes" : "-",
+    token: service.scope && authState.byService[id]?.authorized ? (authState.byService[id]?.hasToken ? "local/env" : "missing") : "-",
+    authorized: authState.byService[id]?.authorized ? "yes" : "-",
     title: service.title,
   }));
   printTable(rows, [
@@ -3501,6 +3653,35 @@ async function printYandexConnectorStatus(options = {}) {
   }
 }
 
+async function getYandexServiceAuthState({ config = null, secrets = null } = {}) {
+  const loadedConfig = config || await loadConfig();
+  const loadedSecrets = secrets || await loadSecrets();
+  const apps = getConfiguredYandexOAuthApps();
+  const appTokens = loadedSecrets.yandex?.oauthApps || {};
+  const envToken = process.env.YANDEX_OAUTH_TOKEN || "";
+  const byService = {};
+  for (const id of Object.keys(YANDEX_CONNECTOR_SERVICES)) {
+    byService[id] = { authorized: false, hasToken: false, apps: [] };
+  }
+  for (const app of apps) {
+    const hasToken = Boolean(envToken || appTokens[app.id]?.token || (app.id === "core" && loadedSecrets.yandex?.oauthToken));
+    for (const id of normalizeYandexServiceList(app.services)) {
+      byService[id] = byService[id] || { authorized: false, hasToken: false, apps: [] };
+      byService[id].authorized = true;
+      byService[id].hasToken = byService[id].hasToken || hasToken;
+      byService[id].apps.push(app.id);
+    }
+  }
+  if (loadedSecrets.cloud?.["yandex-disk"]?.token) {
+    byService.disk.authorized = true;
+    byService.disk.hasToken = true;
+    byService.disk.apps.push("legacy-cloud");
+  }
+  const authorizedServices = Object.entries(byService).filter(([, state]) => state.authorized).map(([id]) => id);
+  const enabledServices = loadedConfig.yandex?.enabledServices || [];
+  return { byService, authorizedServices, enabledServices };
+}
+
 async function yandexUserInfo(token) {
   const response = await fetch("https://login.yandex.ru/info?format=json", {
     headers: { Authorization: `OAuth ${token}` },
@@ -11254,12 +11435,12 @@ function parseOptions(args) {
 
   for (let index = 0; index < args.length; index += 1) {
     const arg = args[index];
-    if (arg === "--json" || arg === "--yes" || arg === "--silent" || arg === "--events" || arg === "--stream-json" || arg === "--stdio" || arg === "--system" || arg === "--headed" || arg === "--headless" || arg === "--no-history" || arg === "--summary" || arg === "--all" || arg === "--full" || arg === "--unread" || arg === "--once" || arg === "--local" || arg === "--cache" || arg === "--tools" || arg === "--files" || arg === "--plan" || arg === "--trace" || arg === "--diff" || arg === "--stage" || arg === "--fts" || arg === "--bare" || arg === "--quiet" || arg === "--optional" || arg === "--project" || arg === "--dry-run" || arg === "--no-color" || arg === "--fail-on-empty" || arg === "--debug" || arg === "--fix" || arg === "--append" || arg === "--preserve-active" || arg === "--open") {
+    if (arg === "--json" || arg === "--yes" || arg === "--silent" || arg === "--events" || arg === "--stream-json" || arg === "--stdio" || arg === "--system" || arg === "--headed" || arg === "--headless" || arg === "--no-history" || arg === "--summary" || arg === "--all" || arg === "--full" || arg === "--unread" || arg === "--once" || arg === "--local" || arg === "--cache" || arg === "--tools" || arg === "--files" || arg === "--plan" || arg === "--trace" || arg === "--diff" || arg === "--stage" || arg === "--fts" || arg === "--bare" || arg === "--quiet" || arg === "--optional" || arg === "--project" || arg === "--dry-run" || arg === "--no-color" || arg === "--fail-on-empty" || arg === "--debug" || arg === "--fix" || arg === "--append" || arg === "--preserve-active" || arg === "--open" || arg === "--print-url") {
       result[arg.slice(2)] = true;
     } else if (arg === "--check" || arg === "--upgrade-node") {
       result.check = true;
       result[arg.slice(2)] = true;
-    } else if (arg === "--limit" || arg === "--offset" || arg === "--search" || arg === "--replace" || arg === "--text" || arg === "--path" || arg === "--depth" || arg === "--max-bytes" || arg === "--query" || arg === "--where" || arg === "--columns" || arg === "--inn" || arg === "--model" || arg === "--provider" || arg === "--profile" || arg === "--name" || arg === "--source" || arg === "--command" || arg === "--prompt" || arg === "--description" || arg === "--base-url" || arg === "--repo" || arg === "--model-dir" || arg === "--sandbox" || arg === "--approval" || arg === "--cwd" || arg === "--codex-profile" || arg === "--format" || arg === "--output" || arg === "--schema" || arg === "--session" || arg === "--temperature" || arg === "--config" || arg === "--dataset" || arg === "--save" || arg === "--reasoning" || arg === "--agent" || arg === "--scope" || arg === "--selector" || arg === "--url" || arg === "--timeout" || arg === "--wait" || arg === "--viewport" || arg === "--press" || arg === "--script" || arg === "--auth-url" || arg === "--token-url" || arg === "--userinfo-url" || arg === "--client-id" || arg === "--client-secret" || arg === "--redirect-host" || arg === "--redirect-port" || arg === "--redirect-path" || arg === "--debug-file" || arg === "--from" || arg === "--to" || arg === "--radius" || arg === "--address" || arg === "--token") {
+    } else if (arg === "--limit" || arg === "--offset" || arg === "--search" || arg === "--replace" || arg === "--text" || arg === "--path" || arg === "--depth" || arg === "--max-bytes" || arg === "--query" || arg === "--where" || arg === "--columns" || arg === "--inn" || arg === "--model" || arg === "--provider" || arg === "--profile" || arg === "--name" || arg === "--source" || arg === "--command" || arg === "--prompt" || arg === "--description" || arg === "--base-url" || arg === "--repo" || arg === "--model-dir" || arg === "--sandbox" || arg === "--approval" || arg === "--cwd" || arg === "--codex-profile" || arg === "--format" || arg === "--output" || arg === "--schema" || arg === "--session" || arg === "--temperature" || arg === "--config" || arg === "--dataset" || arg === "--save" || arg === "--reasoning" || arg === "--agent" || arg === "--scope" || arg === "--selector" || arg === "--url" || arg === "--timeout" || arg === "--wait" || arg === "--viewport" || arg === "--press" || arg === "--script" || arg === "--auth-url" || arg === "--token-url" || arg === "--userinfo-url" || arg === "--client-id" || arg === "--client-secret" || arg === "--redirect-url" || arg === "--redirect-host" || arg === "--redirect-port" || arg === "--redirect-path" || arg === "--debug-file" || arg === "--from" || arg === "--to" || arg === "--radius" || arg === "--address" || arg === "--token" || arg === "--app") {
       result[arg.slice(2)] = args[index + 1];
       index += 1;
     } else {

package/test/smoke-test.js

@@ -58,9 +58,18 @@ assertIncludes(cliSource, "dedupeDatedOpenAiModels", "OpenAI model selection sho
 assertIncludes(cliSource, "chooseLocalModel", "Local model selection should support IOLA and Ollama models");
 assertIncludes(cliSource, "Другая Ollama-модель", "Local model selection should allow manual Ollama model names");
 assertIncludes(cliSource, "chooseYandexServicesMenu", "Yandex Connector should have a service selection menu");
-assertIncludes(cliSource, "Запрошены максимальные OAuth-права", "Yandex setup should request maximum connector permissions");
+assertIncludes(cliSource, "Функции Яндекса.", "Yandex service selection should use a numbered menu");
+assertIncludes(cliSource, "Выберите номера функций через запятую", "Yandex service selection should ask for numbers");
+assertIncludes(cliSource, "getYandexServiceAuthState", "Yandex status should derive permissions from configured OAuth apps");
+assertIncludes(cliSource, "OAuth-права встроенного приложения", "Yandex setup should report packaged OAuth app permissions");
 assertIncludes(cliSource, "Выбрать активные функции можно командой /yandex", "Yandex setup should direct service selection to /yandex");
+assertIncludes(cliSource, "runYandexBrowserOAuth", "Yandex setup should support browser OAuth flow");
+assertIncludes(cliSource, "IOLA_YANDEX_OAUTH_CLIENT_ID", "Yandex setup should use a packaged/env OAuth client id");
+assertIncludes(cliSource, "--app", "Yandex token command should persist tokens by OAuth app group");
 assertNotIncludes(cliSource, "Сервисы через запятую [identity,disk]", "Yandex setup should not ask for services during connector setup");
+if (!packageJson.files.includes("docs/assets/iola-oauth-icon.png")) {
+  throw new Error("package files should include the Yandex OAuth icon");
+}
 
 const commands = await runCli(["commands"]);
 assertIncludes(commands, "iola browser status|install|open|text|html|screenshot|pdf|click|type|eval", "commands");

package/wiki/Yandex-Connector.md

@@ -2,7 +2,7 @@
 
 `Yandex Connector` - единая точка подключения пользовательских сервисов Яндекса в `iola-cli`.
 
-Цель: пользователь один раз настраивает вход через Яндекс с максимальным набором OAuth-прав, а CLI хранит токен локально. Какие функции CLI реально использует, пользователь выбирает отдельно через `/yandex`.
+Цель: пользователь подключает сервисы Яндекса через обычный вход в браузере, а CLI хранит OAuth-токены локально. Какие функции CLI реально использует, пользователь выбирает отдельно через `/yandex`.
 
 Секреты сохраняются только на компьютере пользователя в `~/.iola/secrets.json`. Они не отправляются на сервер IOLA и не попадают в `iola cloud backup`.
 
@@ -51,28 +51,29 @@ Backlog после первого контура:
 
 ## Как подключить
 
-1. Создайте OAuth-приложение Яндекса по инструкции на странице [Облачные диски](Облачные-диски).
-2. Включите нужные scope. Для первого контура нужны:
-   - `login:info`;
-   - `login:email`;
-   - `cloud_api:disk.read`;
-   - `cloud_api:disk.write`;
-   - `cloud_api:disk.info`.
-3. Запустите подключение. Оно не спрашивает список сервисов, а готовит OAuth-ссылку с максимальным набором прав коннектора:
+1. Запустите подключение. Оно не спрашивает список сервисов, а открывает браузер для входа в Яндекс:
 
 ```bash
-iola yandex setup --client-id CLIENT_ID
+iola yandex setup
 ```
 
-4. Откройте ссылку авторизации, которую выведет CLI. В ней будут запрошены максимальные права для поддерживаемых пользовательских сервисов Яндекса.
-5. Скопируйте OAuth-токен.
-6. Сохраните токен:
+2. Авторизуйтесь в Яндексе и разрешите доступ. В текущем встроенном приложении `IOLA Yandex Core` запрашиваются права:
+   - `login:info`;
+   - `login:email`;
+   - `cloud_api:disk.read`;
+   - `cloud_api:disk.write`;
+   - `cloud_api:disk.info`;
+   - `mail:imap_full`;
+   - `mail:smtp`.
+3. После успешной авторизации браузер вернется на локальную страницу `iola-cli`, а CLI сам сохранит OAuth-токен.
+4. Если автоматический браузерный flow недоступен, используйте fallback для разработки:
 
 ```bash
+iola yandex setup --client-id CLIENT_ID --print-url
 iola yandex token set
 ```
 
-7. Выберите, какие функции CLI реально использует:
+5. Выберите, какие функции CLI реально использует:
 
 ```bash
 iola yandex menu
@@ -84,7 +85,9 @@ iola yandex menu
 /yandex
 ```
 
-8. Проверьте:
+Меню `/yandex` работает как мастер настройки: сервисы выбираются номерами через запятую, а не вводом технических названий.
+
+6. Проверьте:
 
 ```bash
 iola yandex doctor
@@ -93,10 +96,42 @@ iola cloud doctor
 
 Если включен `disk`, токен автоматически подключается и к старому облачному провайдеру `yandex-disk`, поэтому команды `iola cloud ...` продолжают работать.
 
+## Что значит включить сервис
+
+OAuth-права дают CLI разрешение обращаться к сервису Яндекса. Но для практической работы под каждый сервис нужны отдельные команды и тулы:
+
+- `identity` - проверить пользователя и email;
+- `disk` - папки, загрузка, скачивание, поиск файлов, публичные ссылки;
+- `mail` - список писем, поиск, чтение письма, отправка письма после явного подтверждения;
+- `calendar` - список событий, создание события, напоминания; требует отдельного OAuth-приложения/проверки прав;
+- `contacts` - поиск контактов и карточки контактов; требует отдельного OAuth-приложения/проверки прав.
+
+Включение сервиса в `/yandex` только разрешает CLI использовать соответствующую категорию. Если прав или тула еще нет, CLI должен честно показать это, а не имитировать работу.
+
+## Иконка приложения
+
+CLI поставляется с готовой иконкой OAuth-приложения. При установке она копируется в:
+
+```text
+~/.iola/assets/iola-oauth-icon.png
+```
+
+В репозитории файл лежит здесь:
+
+```text
+docs/assets/iola-oauth-icon.png
+```
+
+Если создается новое OAuth-приложение Яндекса вручную, эту иконку можно указать в поле "Иконка сервиса".
+
 ## Важно
 
 Yandex Connector не является универсальным ключом ко всему Яндексу.
 
 Обычные пользовательские сервисы работают через OAuth и scope. Yandex Cloud, YandexGPT и Geocoder требуют отдельные ключи, folder ID или настройки в Yandex Cloud.
 
+Для браузерного подключения в сборке CLI уже указан public OAuth `client_id` приложения IOLA. Это не секретный ключ. Пользователь не должен создавать OAuth-приложение вручную.
+
+Яндекс ограничивает количество разных групп сервисов в одном OAuth-приложении. Поэтому один токен не всегда может покрыть Диск, Почту, Календарь, Контакты, Wiki, Tracker и Forms сразу. CLI поддерживает группировку по нескольким OAuth-приложениям; текущий первый контур - `identity`, `disk`, `mail`.
+
 CLI не должен автоматически оформлять покупки, вызывать такси, подтверждать доставку или выполнять платежи. Для таких сценариев допустима только подготовка ссылки, маршрута или списка, а финальное действие делает пользователь в приложении Яндекса.