@pikecode/api-key-manager 1.0.16 → 1.0.18

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@pikecode/api-key-manager",
-  "version": "1.0.16",
+  "version": "1.0.18",
   "description": "A CLI tool for managing and switching multiple API provider configurations",
   "main": "src/index.js",
   "bin": {

package/src/CommandRegistry.js

@@ -22,7 +22,7 @@ class CommandRegistry {
       return command;
     }
 
-    throw new Error(`命令 '${name}' 未注册`);
+    throw new Error(`未知命令 '${name}'\n运行 'akm --help' 查看所有可用命令`);
   }
 
   // 执行命令

package/src/commands/add.js

@@ -313,12 +313,8 @@ class ProviderAdder extends BaseCommand {
         ? await this.promptModelConfiguration()
         : { primaryModel: null, smallFastModel: null };
 
-      // 如果是 Codex 快捷方式，确保 ideName 被设置为 'codex'
-      const finalIdeName = forceCodex ? 'codex' : answers.ideName;
-
       await this.configManager.addProvider(answers.name, {
         displayName: answers.displayName || answers.name,
-        ideName: finalIdeName, // 'claude' 或 'codex'
         baseUrl: answers.baseUrl,
         authToken: answers.authToken,
         authMode: answers.authMode,

package/src/commands/switch.js

@@ -25,7 +25,7 @@ class EnvSwitcher extends BaseCommand {
     await this.configManager.load();
     const provider = this.configManager.getProvider(providerName);
     if (!provider) {
-      throw new Error(`供应商 '${providerName}' 不存在`);
+      throw new Error(`供应商 '${providerName}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
     return provider;
   }

package/src/config.js

@@ -50,7 +50,23 @@ class ConfigManager {
   async _performLoad() {
     try {
       if (await fs.pathExists(this.configPath)) {
-        const data = await fs.readJSON(this.configPath);
+        // 检查并修复文件权限（仅 Unix 系统）
+        await this._checkAndFixPermissions();
+
+        let data;
+        try {
+          data = await fs.readJSON(this.configPath);
+        } catch (jsonError) {
+          // 配置文件损坏，创建备份并重置
+          const backupPath = `${this.configPath}.corrupted.${Date.now()}`;
+          await fs.copy(this.configPath, backupPath);
+          console.log(chalk.yellow('⚠️  配置文件损坏，已备份到:'), backupPath);
+
+          this.config = this.getDefaultConfig();
+          await this._performSave();
+          this.isLoaded = true;
+          return this.config;
+        }
 
         if (!data || typeof data !== 'object' || Array.isArray(data)) {
           // 配置文件被写成非对象内容时，重置为默认配置
@@ -84,9 +100,35 @@ class ConfigManager {
     }
   }
 
+  async _checkAndFixPermissions() {
+    // Windows 不支持 Unix 文件权限
+    if (process.platform === 'win32') {
+      return;
+    }
+
+    try {
+      const stat = await fs.stat(this.configPath);
+      const mode = stat.mode & 0o777;
+
+      // 检查权限是否为 600 (仅所有者可读写) 或 400 (仅所有者可读)
+      if (mode !== 0o600 && mode !== 0o400) {
+        console.log(chalk.yellow('⚠️  配置文件权限不安全:'), mode.toString(8), chalk.gray('建议: 0600'));
+
+        try {
+          await fs.chmod(this.configPath, 0o600);
+          console.log(chalk.green('✅ 已自动修复文件权限为: 0600'));
+        } catch (chmodError) {
+          console.log(chalk.red('❌ 无法自动修复权限，请手动执行:'));
+          console.log(chalk.gray(`   chmod 600 ${this.configPath}`));
+        }
+      }
+    } catch (error) {
+      // 忽略权限检查错误，不影响主流程
+    }
+  }
+
   _migrateAuthModes() {
-    // 迁移旧的 api_token 模式到新的 auth_token 模式
-    // 同时为旧配置添加 ideName 字段（默认为 'claude'）
+    // 迁移旧配置以保持向后兼容
     if (this.config.providers) {
       Object.keys(this.config.providers).forEach(key => {
         const provider = this.config.providers[key];
@@ -96,7 +138,7 @@ class ConfigManager {
           provider.authMode = 'auth_token';
         }
 
-        // 为缺少 ideName 的旧配置添加默认值
+        // 为旧配置添加 ideName 字段（历史兼容性字段，默认为 'claude'）
         if (!provider.ideName) {
           provider.ideName = 'claude';
         }
@@ -130,6 +172,12 @@ class ConfigManager {
       // 保存前确保迁移已应用
       this._migrateAuthModes();
       await fs.writeJSON(this.configPath, this.config, { spaces: 2 });
+
+      // 设置文件权限为 600 (仅所有者可读写)
+      if (process.platform !== 'win32') {
+        await fs.chmod(this.configPath, 0o600);
+      }
+
       // 更新最后修改时间
       const stat = await fs.stat(this.configPath);
       this.lastModified = stat.mtime;
@@ -153,11 +201,11 @@ class ConfigManager {
     this.config.providers[name] = {
       name,
       displayName: providerConfig.displayName || name,
-      ideName: providerConfig.ideName || 'claude', // 'claude' 或 'codex'
+      ideName: providerConfig.ideName || 'claude', // 历史兼容性字段
       baseUrl: providerConfig.baseUrl,
       authToken: providerConfig.authToken,
       authMode: providerConfig.authMode || 'api_key',
-      tokenType: providerConfig.tokenType || 'api_key', // 'api_key' 或 'auth_token' - 仅在 authMode 为 'api_key' 时使用
+      tokenType: providerConfig.tokenType || 'api_key', // 仅在 authMode 为 'api_key' 时使用
       launchArgs: providerConfig.launchArgs || [],
       models: {
         primary: providerConfig.primaryModel || null,
@@ -186,9 +234,9 @@ class ConfigManager {
 
   async removeProvider(name) {
     await this.ensureLoaded();
-    
+
     if (!this.config.providers[name]) {
-      throw new Error(`供应商 '${name}' 不存在`);
+      throw new Error(`供应商 '${name}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
 
     delete this.config.providers[name];
@@ -203,9 +251,9 @@ class ConfigManager {
 
   async setCurrentProvider(name) {
     await this.ensureLoaded();
-    
+
     if (!this.config.providers[name]) {
-      throw new Error(`供应商 '${name}' 不存在`);
+      throw new Error(`供应商 '${name}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
 
     // 重置所有供应商的current状态

package/src/utils/config-opener.js

@@ -34,9 +34,14 @@ function openFileWithDefaultApp(filePath) {
 
 async function openAKMConfigFile() {
   if (!(await ensureConfigExists())) {
-    throw new Error('未找到 ~/.akm-config.json，请先运行 akm add 创建配置');
+    throw new Error('未找到配置文件 ~/.akm-config.json\n请先运行 \'akm add\' 创建第一个供应商配置');
+  }
+
+  try {
+    await openFileWithDefaultApp(AKM_CONFIG_FILE);
+  } catch (error) {
+    throw new Error(`无法打开配置文件: ${error.message}\n配置文件位置: ${AKM_CONFIG_FILE}`);
   }
-  await openFileWithDefaultApp(AKM_CONFIG_FILE);
 }
 
 module.exports = {

package/src/utils/env-launcher.js

@@ -1,5 +1,26 @@
 const spawn = require('cross-spawn');
 
+/**
+ * 清理环境变量值，移除危险字符
+ * @param {string} value - 要清理的值
+ * @returns {string} 清理后的值
+ */
+function sanitizeEnvValue(value) {
+  if (typeof value !== 'string') {
+    throw new Error('环境变量值必须是字符串');
+  }
+
+  // 移除控制字符
+  let cleaned = value.replace(/[\x00-\x08\x0B\x0C\x0E-\x1F]/g, '');
+
+  // 检测可能的 shell 命令注入
+  if (/[;&|`$()]/.test(cleaned)) {
+    throw new Error('环境变量值包含潜在不安全的字符');
+  }
+
+  return cleaned;
+}
+
 function clearTerminal() {
   if (!process.stdout || typeof process.stdout.write !== 'function') {
     return;
@@ -24,33 +45,37 @@ function clearTerminal() {
 function buildEnvVariables(config) {
   const env = { ...process.env };
 
-  // Claude Code 配置
-  if (config.authMode === 'oauth_token') {
-    env.CLAUDE_CODE_OAUTH_TOKEN = config.authToken;
-  } else if (config.authMode === 'api_key') {
-    env.ANTHROPIC_BASE_URL = config.baseUrl;
-    // 根据 tokenType 选择设置哪种 token
-    if (config.tokenType === 'auth_token') {
-      env.ANTHROPIC_AUTH_TOKEN = config.authToken;
+  try {
+    // Claude Code 配置
+    if (config.authMode === 'oauth_token') {
+      env.CLAUDE_CODE_OAUTH_TOKEN = sanitizeEnvValue(config.authToken);
+    } else if (config.authMode === 'api_key') {
+      env.ANTHROPIC_BASE_URL = sanitizeEnvValue(config.baseUrl);
+      // 根据 tokenType 选择设置哪种 token
+      if (config.tokenType === 'auth_token') {
+        env.ANTHROPIC_AUTH_TOKEN = sanitizeEnvValue(config.authToken);
+      } else {
+        // 默认使用 ANTHROPIC_API_KEY
+        env.ANTHROPIC_API_KEY = sanitizeEnvValue(config.authToken);
+      }
     } else {
-      // 默认使用 ANTHROPIC_API_KEY
-      env.ANTHROPIC_API_KEY = config.authToken;
+      // auth_token 模式
+      env.ANTHROPIC_BASE_URL = sanitizeEnvValue(config.baseUrl);
+      env.ANTHROPIC_AUTH_TOKEN = sanitizeEnvValue(config.authToken);
     }
-  } else {
-    // auth_token 模式
-    env.ANTHROPIC_BASE_URL = config.baseUrl;
-    env.ANTHROPIC_AUTH_TOKEN = config.authToken;
-  }
 
-  if (config.models && config.models.primary) {
-    env.ANTHROPIC_MODEL = config.models.primary;
-  }
+    if (config.models && config.models.primary) {
+      env.ANTHROPIC_MODEL = sanitizeEnvValue(config.models.primary);
+    }
 
-  if (config.models && config.models.smallFast) {
-    env.ANTHROPIC_SMALL_FAST_MODEL = config.models.smallFast;
-  }
+    if (config.models && config.models.smallFast) {
+      env.ANTHROPIC_SMALL_FAST_MODEL = sanitizeEnvValue(config.models.smallFast);
+    }
 
-  return env;
+    return env;
+  } catch (error) {
+    throw new Error(`配置验证失败: ${error.message}\n请使用 'akm edit ${config.name}' 修复配置`);
+  }
 }
 
 async function executeWithEnv(config, launchArgs = []) {
@@ -72,11 +97,17 @@ async function executeWithEnv(config, launchArgs = []) {
       if (code === 0) {
         resolve();
       } else {
-        reject(new Error(`Claude Code 退出，代码: ${code}`));
+        reject(new Error(`Claude Code 退出，退出代码: ${code}\n提示: 请检查 API 配置是否正确`));
       }
     });
 
-    child.on('error', reject);
+    child.on('error', (error) => {
+      if (error.code === 'ENOENT') {
+        reject(new Error('找不到 claude 命令\n请确认已安装 Claude Code (https://claude.com/code)'));
+      } else {
+        reject(new Error(`启动 Claude Code 失败: ${error.message}`));
+      }
+    });
   });
 }
 

package/src/utils/validator.js

@@ -3,15 +3,33 @@ const validator = {
     if (!name || typeof name !== 'string') {
       return '供应商名称不能为空';
     }
-    
+
     if (name.trim().length === 0) {
       return '供应商名称不能为空或只包含空格';
     }
-    
+
+    // 禁止文件系统特殊字符
+    if (/[<>:"/\\|?*\x00-\x1F]/.test(name)) {
+      return '供应商名称包含非法字符 (不能包含: < > : " / \\ | ? *)';
+    }
+
+    // 禁止使用保留名称 (Windows)
+    const reserved = ['CON', 'PRN', 'AUX', 'NUL', 'COM1', 'COM2', 'COM3', 'COM4',
+                      'COM5', 'COM6', 'COM7', 'COM8', 'COM9', 'LPT1', 'LPT2',
+                      'LPT3', 'LPT4', 'LPT5', 'LPT6', 'LPT7', 'LPT8', 'LPT9'];
+    if (reserved.includes(name.toUpperCase())) {
+      return '供应商名称不能使用系统保留名称';
+    }
+
+    // 禁止以点或空格开头/结尾 (Windows 限制)
+    if (/^[. ]|[. ]$/.test(name)) {
+      return '供应商名称不能以点或空格开头/结尾';
+    }
+
     if (name.length > 100) {
       return '供应商名称不能超过100个字符';
     }
-    
+
     return null;
   },
 
@@ -54,11 +72,27 @@ const validator = {
     if (!token || typeof token !== 'string') {
       return 'Token不能为空';
     }
-    
-    if (token.length < 10) {
+
+    if (token.trim().length === 0) {
+      return 'Token不能只包含空格';
+    }
+
+    if (token.trim().length < 10) {
       return 'Token长度不能少于10个字符';
     }
-    
+
+    // 检测常见的占位符文本
+    const placeholders = [
+      'your-key-here', 'your-token', 'your_key', 'your_token',
+      'example', 'test-key', 'demo', 'placeholder', 'replace-me',
+      'insert-key', 'api-key-here', 'token-here', 'xxx', 'yyy',
+      'zzz', 'abc123', '123456'
+    ];
+    const lowerToken = token.toLowerCase();
+    if (placeholders.some(p => lowerToken.includes(p))) {
+      return 'Token 似乎是占位符，请输入真实的 API Token';
+    }
+
     return null;
   },
 

package/bin/cc.js

@@ -1,101 +0,0 @@
-#!/usr/bin/env node
-
-const { program } = require('commander');
-const chalk = require('chalk');
-const { main } = require('../src/index');
-const { registry } = require('../src/CommandRegistry');
-const pkg = require('../package.json');
-const { checkForUpdates } = require('../src/utils/update-checker');
-
-// Set up CLI
-program
-  .name('akm')
-  .description('API密钥管理工具 - Manage and switch multiple API provider configurations')
-  .version(pkg.version, '-v, -V, --version', '显示版本号');
-
-// Check for updates before any command runs
-program.hook('preAction', async () => {
-  await checkForUpdates({ packageName: pkg.name, currentVersion: pkg.version });
-});
-
-// Default command - show provider selection
-program
-  .argument('[provider]', '直接切换到指定供应商')
-  .action(async (provider) => {
-    try {
-      await main(provider);
-    } catch (error) {
-      console.error(chalk.red('❌ 执行失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// Add command
-program
-  .command('add')
-  .description('添加新供应商配置')
-  .action(async () => {
-    try {
-      await registry.executeCommand('add');
-    } catch (error) {
-      console.error(chalk.red('❌ 添加失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// Remove command
-program
-  .command('remove')
-  .argument('[provider]', '要删除的供应商名称')
-  .description('删除供应商配置')
-  .action(async (provider) => {
-    try {
-      await registry.executeCommand('remove', provider);
-    } catch (error) {
-      console.error(chalk.red('❌ 删除失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// List command
-program
-  .command('list')
-  .description('列出所有供应商')
-  .action(async () => {
-    try {
-      await registry.executeCommand('list');
-    } catch (error) {
-      console.error(chalk.red('❌ 列表失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// Current command
-program
-  .command('current')
-  .description('显示当前配置')
-  .action(async () => {
-    try {
-      await registry.executeCommand('current');
-    } catch (error) {
-      console.error(chalk.red('❌ 获取当前配置失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// Edit command
-program
-  .command('edit')
-  .argument('[provider]', '要编辑的供应商名称')
-  .description('编辑供应商配置')
-  .action(async (provider) => {
-    try {
-      await registry.executeCommand('edit', provider);
-    } catch (error) {
-      console.error(chalk.red('❌ 编辑失败:'), error.message);
-      process.exit(1);
-    }
-  });
-
-// Parse arguments
-program.parse();