@iola_adm/iola-cli 0.2.2 → 0.2.3

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@iola_adm/iola-cli",
-  "version": "0.2.2",
+  "version": "0.2.3",
   "description": "CLI и AI-агент городского округа Йошкар-Ола.",
   "license": "MIT",
   "homepage": "https://github.com/adm-iola/iola-cli#readme",

package/src/cli.js

@@ -10,6 +10,7 @@ import readline from "node:readline/promises";
 import { Readable } from "node:stream";
 import { stdin as input, stdout as output } from "node:process";
 import { DatabaseSync } from "node:sqlite";
+import tls from "node:tls";
 import { fileURLToPath } from "node:url";
 import { inflateRawSync, inflateSync } from "node:zlib";
 
@@ -8803,18 +8804,23 @@ async function callGigaChat(config, messages) {
   }
 
   const token = await getGigaChatAccessToken(config, authKey);
-  const response = await fetch(`${String(config.baseUrl || "https://gigachat.devices.sberbank.ru/api/v1").replace(/\/+$/, "")}/chat/completions`, {
-    method: "POST",
-    headers: {
-      authorization: `Bearer ${token}`,
-      "content-type": "application/json",
-    },
-    body: JSON.stringify({
-      model: config.model || "GigaChat-2",
-      messages,
-      temperature: Number(config.temperature ?? 0.2),
-    }),
-  });
+  let response;
+  try {
+    response = await fetch(`${String(config.baseUrl || "https://gigachat.devices.sberbank.ru/api/v1").replace(/\/+$/, "")}/chat/completions`, {
+      method: "POST",
+      headers: {
+        authorization: `Bearer ${token}`,
+        "content-type": "application/json",
+      },
+      body: JSON.stringify({
+        model: config.model || "GigaChat-2",
+        messages,
+        temperature: Number(config.temperature ?? 0.2),
+      }),
+    });
+  } catch (error) {
+    throw new Error(formatProviderFetchError("GigaChat", error));
+  }
 
   if (!response.ok) {
     const text = await response.text();
@@ -8826,17 +8832,23 @@ async function callGigaChat(config, messages) {
 }
 
 async function getGigaChatAccessToken(config, authKey) {
+  enableSystemCaForGigaChat();
   const secrets = await loadSecrets();
   const scope = process.env.GIGACHAT_SCOPE || secrets.gigachat?.scope || config.scope || "GIGACHAT_API_PERS";
-  const response = await fetch(config.authUrl || "https://ngw.devices.sberbank.ru:9443/api/v2/oauth", {
-    method: "POST",
-    headers: {
-      authorization: `Basic ${authKey}`,
-      "content-type": "application/x-www-form-urlencoded",
-      RqUID: randomUUID(),
-    },
-    body: new URLSearchParams({ scope }).toString(),
-  });
+  let response;
+  try {
+    response = await fetch(config.authUrl || "https://ngw.devices.sberbank.ru:9443/api/v2/oauth", {
+      method: "POST",
+      headers: {
+        authorization: `Basic ${authKey}`,
+        "content-type": "application/x-www-form-urlencoded",
+        RqUID: randomUUID(),
+      },
+      body: new URLSearchParams({ scope }).toString(),
+    });
+  } catch (error) {
+    throw new Error(formatProviderFetchError("GigaChat OAuth", error));
+  }
 
   if (!response.ok) {
     const text = await response.text();
@@ -8848,6 +8860,37 @@ async function getGigaChatAccessToken(config, authKey) {
   return payload.access_token;
 }
 
+let systemCaForGigaChatEnabled = false;
+
+function enableSystemCaForGigaChat() {
+  if (systemCaForGigaChatEnabled || process.env.GIGACHAT_DISABLE_SYSTEM_CA === "1") return;
+  systemCaForGigaChatEnabled = true;
+
+  try {
+    if (typeof tls.getCACertificates !== "function" || typeof tls.setDefaultCACertificates !== "function") return;
+    const certificates = [
+      ...tls.getCACertificates("system"),
+      ...tls.getCACertificates("bundled"),
+      ...tls.getCACertificates("extra"),
+    ];
+    if (certificates.length > 0) tls.setDefaultCACertificates([...new Set(certificates)]);
+  } catch {
+    // Older Node builds may not expose system CA management. The fetch error below
+    // will include the concrete TLS/network cause and the manual workaround.
+  }
+}
+
+function formatProviderFetchError(provider, error) {
+  const cause = error?.cause;
+  const causeCode = cause?.code ? `${cause.code}: ` : "";
+  const causeMessage = cause?.message || "";
+  const details = `${error?.message || "fetch failed"}${causeMessage ? ` (${causeCode}${causeMessage})` : ""}`;
+  if (/SELF_SIGNED_CERT_IN_CHAIN|UNABLE_TO_GET_ISSUER_CERT|CERT_/i.test(`${cause?.code || ""} ${causeMessage}`)) {
+    return `${provider} network error: ${details}\nNode не доверяет цепочке сертификатов провайдера. CLI пробует использовать системные сертификаты ОС автоматически; если ошибка повторяется, обновите Node.js или запустите CLI с NODE_OPTIONS=--use-system-ca.`;
+  }
+  return `${provider} network error: ${details}`;
+}
+
 function getAiNetworkMode(config = {}) {
   return validateAiNetworkMode(AI_NETWORK_MODE || config.networkMode || "gateway");
 }

package/wiki/AI-/320/277/321/200/320/276/321/204/320/270/320/273/320/270.md

@@ -99,12 +99,23 @@ CLI также понимает env-переменные `YANDEXGPT_API_KEY` и
 Пошаговая настройка:
 
 1. Перейдите на портал разработчиков Сбера: `https://developers.sber.ru/`.
-2. Войдите в аккаунт.
-3. Откройте раздел GigaChat.
-4. Если нужно, подключите доступ к GigaChat API для физического лица или организации.
-5. Откройте кабинет/проект, в котором доступны учетные данные GigaChat API.
-6. Найдите authorization key для REST API. В документации GigaChat он используется в OAuth-запросе в заголовке `Authorization: Basic ...`.
-7. Скопируйте authorization key и сохраните его локально в CLI:
+2. Войдите в аккаунт. Если вход еще не выполнен, портал откроет страницу авторизации: `https://developers.sber.ru/studio/login`.
+3. Откройте страницу GigaChat API. Прямой путь: `https://developers.sber.ru/studio/workspaces/my-space/get/gigachat-api`.
+4. Нажмите кнопку подключения или `Попробовать`. После входа откроется форма создания проекта.
+5. В форме `Почти готово` заполните `Название проекта`. Можно оставить предложенное название `Мой GigaChat API` или указать `iola-cli`.
+6. В блоке `Группа проекта` нажмите `Выбрать группу`.
+7. Если есть вариант `Без группы`, выберите его. Если создание проекта после этого недоступно, выберите `Создать группу`, задайте понятное имя, например `iola-cli`, и сохраните группу.
+8. Нажмите `Создать проект`.
+9. После создания проекта откроется страница GigaChat API. В верхней части будет название проекта, например `Мой GigaChat API`.
+10. На странице проекта нажмите `Настроить API`. Если кнопки не видно, откройте раздел настроек проекта GigaChat API в левом меню.
+11. На странице `Настройка API` найдите блок `Данные для авторизации запросов к API`.
+12. Проверьте поле `Scope`. Для личного Freemium-доступа обычно указан `GIGACHAT_API_PERS`. Это значение понадобится CLI.
+13. В блоке `Ключ авторизации` нажмите `Получить ключ`.
+14. Откроется окно `Сохраните ваш Authorization Key`. Не закрывайте его, пока не сохраните данные.
+15. Скопируйте поле `Authorization Key`. Это и есть значение `GIGACHAT_AUTH_KEY` для CLI.
+16. При желании также сохраните `Client ID` и `Client Secret`, но CLI они не нужны, если вы уже скопировали `Authorization Key`.
+17. Нажмите `Готово` только после сохранения ключа.
+18. Сохраните ключ локально в CLI:
 
 ```bash
 iola ai key set gigachat
@@ -115,6 +126,8 @@ CLI попросит ввести:
 - `GIGACHAT_AUTH_KEY` - authorization key;
 - `scope` - по умолчанию `GIGACHAT_API_PERS` для персонального доступа.
 
+Важно: `Authorization Key` показывается один раз. Если закрыть окно и не сохранить ключ, его нельзя посмотреть повторно. В этом случае нажмите `Получить новый ключ` и сохраните новое значение. `Authorization Key` - это уже готовая строка для заголовка `Authorization: Basic ...`; вручную кодировать `Client ID:Client Secret` в base64 не нужно.
+
 После сохранения ключа выберите профиль и модель:
 
 ```bash