npm - @monetize.software/sdk-extension - Versions diffs - 0.1.0-alpha.0 → 3.0.0-alpha.2 - Mend

@monetize.software/sdk-extension 0.1.0-alpha.0 → 3.0.0-alpha.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (14) hide show

package/README.md +52 -52
package/dist/chunks/{chrome-port-BXHR4SOG.js → chrome-port-DPFUj1MP.js} +144 -98
package/dist/chunks/chrome-port-DPFUj1MP.js.map +1 -0
package/dist/chunks/{chrome-port-EtYqHf3p.js → chrome-port-MoMohiHB.js} +2 -2
package/dist/chunks/chrome-port-MoMohiHB.js.map +1 -0
package/dist/content.cjs +2 -2
package/dist/content.cjs.map +1 -1
package/dist/content.js +37 -17
package/dist/content.js.map +1 -1
package/dist/offscreen.cjs +1 -1
package/dist/offscreen.js +1 -1
package/package.json +1 -1
package/dist/chunks/chrome-port-BXHR4SOG.js.map +0 -1
package/dist/chunks/chrome-port-EtYqHf3p.js.map +0 -1

package/README.md CHANGED Viewed

@@ -1,14 +1,14 @@
 # @monetize.software/sdk-extension
-SDK для Chrome-расширений. Один offscreen-документ держит BillingClient,
-AuthClient, EventTracker — единственный source of truth для всех вкладок,
-popup'ов, side-panel'ов и extension-страниц расширения.
+SDK for Chrome extensions. A single offscreen document holds the BillingClient,
+AuthClient and EventTracker — the single source of truth for all tabs, popups,
+side panels, and extension pages.
-Public API content-script'а **drop-in совместим** с `@monetize.software/sdk` —
-host пишет `import { PaywallUI } from '@monetize.software/sdk-extension'` и получает
-тот же класс, тот же метод-сет.
+The content-script public API is **drop-in compatible** with `@monetize.software/sdk` —
+the host writes `import { PaywallUI } from '@monetize.software/sdk-extension'` and
+gets the same class with the same method set.
-## Архитектура
+## Architecture
 ```
 content script (per tab) ──port──▶ service worker ──port──▶ offscreen
@@ -19,23 +19,23 @@ content script (per tab) ──port──▶ service worker ──port──▶
                                                      UserWatcher
 ```
-- **content-script:** UI + RemoteBillingClient (proxy через port в offscreen).
-- **service worker:** маршрутизатор content↔offscreen, OAuth-флоу через
-  `chrome.identity` (offscreen его не видит).
-- **offscreen:** реальный SDK state, переживает закрытие вкладок, единственная
-  точка координации auth-refresh / trial-counter / analytics-batch.
+- **content-script:** UI + RemoteBillingClient (proxy over a port into offscreen).
+- **service worker:** content↔offscreen router; OAuth flow via `chrome.identity`
+  (offscreen can't access it directly).
+- **offscreen:** the real SDK state, survives tab closes, the sole coordination
+  point for auth refresh / trial counter / analytics batching.
-## Статус
+## Status
-Phase 0 — скелет: package.json, vite multi-entry, wire-protocol типы,
-заглушки на content/offscreen/sw + demo-extension манифест. Реальная
-маршрутизация и RemoteBillingClient — следующие фазы.
+Phase 0 — skeleton: package.json, vite multi-entry, wire-protocol types,
+stubs for content/offscreen/sw and a demo-extension manifest. Actual routing
+and `RemoteBillingClient` come in the next phases.
-См. TODO в репозитории и `src/shared/protocol.ts` для контракта сообщений.
+See TODO in the repo and `src/shared/protocol.ts` for the message contract.
-## Использование (целевое, в финале)
+## Usage (target shape, when complete)
-**В extension'е:**
+**In the extension:**
 ```ts
 // service-worker.ts
@@ -50,18 +50,18 @@ startOffscreenServer({ paywallId: '...', apiOrigin: 'https://...' });
 ```
 ```ts
-// content-script.ts (на каждой вкладке)
+// content-script.ts (in every tab)
 import { PaywallUI } from '@monetize.software/sdk-extension';
 const paywall = new PaywallUI({ paywallId: '...', apiOrigin: '...' });
-paywall.open();  // ровно как в @monetize.software/sdk
+paywall.open();  // exactly like @monetize.software/sdk
 ```
-**На сайтах** — продолжаем использовать `@monetize.software/sdk`, не меняется.
+**On websites** — keep using `@monetize.software/sdk`, nothing changes.
-## Manifest: что прописывать в host extension'е
+## Manifest: what to declare in the host extension
-SDK сам по себе ничего в манифест не добавляет — host extension решает permissions
-под свой UX. Минимум для работы SDK:
+The SDK itself does not add anything to the manifest — the host extension picks
+permissions to match its own UX. Minimum for the SDK to work:
 ```json
 {
@@ -71,43 +71,43 @@ SDK сам по себе ничего в манифест не добавляе
 }
 ```
-Опционально:
+Optional:
-- `"permissions": ["identity"]` — если включаете OAuth-флоу (`auth: true` + Google/etc.).
-- `web_accessible_resources` для `offscreen.html` **не нужен** — документ создаётся
-  service worker'ом через `chrome.offscreen.createDocument`, это chrome-API и WAR
-  не требует. Указывать его — лишняя attack surface (любой сайт сможет `<iframe>`-нить
-  ваш offscreen, плюс это fingerprint вашего extension ID).
+- `"permissions": ["identity"]` — if you enable OAuth flows (`auth: true` + Google/etc.).
+- `web_accessible_resources` for `offscreen.html` is **not required** — the
+  document is created by the service worker via `chrome.offscreen.createDocument`,
+  that's a Chrome API and doesn't need WAR. Listing it adds attack surface (any
+  site could `<iframe>` your offscreen, plus it fingerprints your extension ID).
-### `host_permissions` — что выбрать
+### `host_permissions` — what to pick
-`host_permissions` управляют двумя вещами: куда extension может делать `fetch` (из
-offscreen / SW / content-script) и на какие origin'ы content-script может
-инжектиться (вместе с `content_scripts.matches`).
+`host_permissions` control two things: where the extension can `fetch` (from
+offscreen / SW / content-script) and which origins the content-script can be
+injected into (together with `content_scripts.matches`).
-| Сценарий | Рекомендация |
+| Scenario | Recommendation |
 |---|---|
-| **Host extension'у `<all_urls>` уже нужен** (рекордер, тулза-на-всех-сайтах, ассистент) | Оставляйте `<all_urls>`. SDK работает как есть. **Риск:** Chrome Web Store review для `<all_urls>` идёт через ручной audit и занимает дольше; AV-вендоры (Avast/Kaspersky/etc.) активнее метят такие расширения как PUA. Это «цена» широкого инжекта — не SDK'шный риск, а вашего use-case'а. |
-| **Host extension ходит только на ваш бекенд и paywall'ит свои фичи** (popup-tool, side-panel app) | НЕ ставьте `<all_urls>`. Достаточно вашего apiOrigin: `["https://api.your-domain.com/*"]`. Никакого content-script инжекта на все сайты не нужно. |
-| **Хотите гибрид** — popup-tool, но иногда content-script нужен на узком списке доменов | `host_permissions` + `content_scripts.matches` ограничьте до этих доменов: `["https://*.your-target.com/*", "https://api.your-domain.com/*"]`. |
+| **Host extension already needs `<all_urls>`** (recorder, all-sites tool, assistant) | Keep `<all_urls>`. SDK works as-is. **Risk:** Chrome Web Store review for `<all_urls>` is a manual audit and takes longer; AV vendors (Avast/Kaspersky/etc.) are more likely to flag such extensions as PUA. That's the price of broad injection — it's a property of your use case, not an SDK risk. |
+| **Host extension only talks to your backend and gates its own features** (popup tool, side-panel app) | Do NOT request `<all_urls>`. Your `apiOrigin` is enough: `["https://api.your-domain.com/*"]`. No content-script injection on every site needed. |
+| **Hybrid** — popup tool, but content-script needed on a narrow list of domains | Constrain both `host_permissions` and `content_scripts.matches` to those domains: `["https://*.your-target.com/*", "https://api.your-domain.com/*"]`. |
-Главный сигнал для CWS/AV: чем уже `host_permissions`, тем меньше подозрений.
-`<all_urls>` оставляйте только если он реально нужен для UX, и будьте готовы
-обосновать его в CWS review (поле "Permission justification").
+The main signal to CWS/AV: the narrower `host_permissions`, the less suspicion.
+Keep `<all_urls>` only when it's genuinely required for your UX, and be ready to
+justify it in CWS review (the "Permission justification" field).
-## Demo extension'а: build modes
+## Demo extension: build modes
-Для self-проверки и e2e-тестов есть `demo-extension/` — reference-impleментация.
-Билдов два:
+For self-testing and e2e there's `demo-extension/` — a reference implementation.
+Two builds are available:
 ```bash
-pnpm build:demo       # production build (= шаблон, который можно копировать клиентам)
-pnpm build:demo:e2e   # debug build — экспонирует window.__paywall для playwright'а
+pnpm build:demo       # production build (= the template clients can copy)
+pnpm build:demo:e2e   # debug build — exposes window.__paywall for Playwright
 ```
-`build:demo` НЕ кладёт `window.__paywall` в bundle (dead-code elimination через
-`import.meta.env.MODE !== 'e2e'`). Шаблон, который клиент копирует, остаётся
-чистым: любой script на странице иначе мог бы дёрнуть `paywall.open()` /
-`paywall.track()` и злоупотреблять чужим extension'ом.
+`build:demo` does NOT put `window.__paywall` into the bundle (dead-code-eliminated
+via `import.meta.env.MODE !== 'e2e'`). The template clients copy stays clean: any
+script on the page could otherwise call `paywall.open()` / `paywall.track()` and
+abuse someone else's extension.
-`pnpm dev:demo` собирает в e2e-режиме (для удобной отладки из DevTools-консоли).
+`pnpm dev:demo` builds in e2e mode (handy for live debugging from the DevTools console).