@pikecode/api-key-manager 1.0.17 → 1.0.19

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@pikecode/api-key-manager",
-  "version": "1.0.17",
+  "version": "1.0.19",
   "description": "A CLI tool for managing and switching multiple API provider configurations",
   "main": "src/index.js",
   "bin": {

package/src/CommandRegistry.js

@@ -22,7 +22,7 @@ class CommandRegistry {
       return command;
     }
 
-    throw new Error(`命令 '${name}' 未注册`);
+    throw new Error(`未知命令 '${name}'\n运行 'akm --help' 查看所有可用命令`);
   }
 
   // 执行命令

package/src/commands/list.js

@@ -54,7 +54,7 @@ class ProviderLister {
         }
 
         if (provider.authToken) {
-          console.log(chalk.gray(`   Token: ${provider.authToken.substring(0, 10)}...`));
+          console.log(chalk.gray(`   Token: ${provider.authToken}`));
         }
 
         if (provider.launchArgs && provider.launchArgs.length > 0) {

package/src/commands/switch.js

@@ -25,7 +25,7 @@ class EnvSwitcher extends BaseCommand {
     await this.configManager.load();
     const provider = this.configManager.getProvider(providerName);
     if (!provider) {
-      throw new Error(`供应商 '${providerName}' 不存在`);
+      throw new Error(`供应商 '${providerName}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
     return provider;
   }

package/src/config.js

@@ -50,7 +50,23 @@ class ConfigManager {
   async _performLoad() {
     try {
       if (await fs.pathExists(this.configPath)) {
-        const data = await fs.readJSON(this.configPath);
+        // 检查并修复文件权限（仅 Unix 系统）
+        await this._checkAndFixPermissions();
+
+        let data;
+        try {
+          data = await fs.readJSON(this.configPath);
+        } catch (jsonError) {
+          // 配置文件损坏，创建备份并重置
+          const backupPath = `${this.configPath}.corrupted.${Date.now()}`;
+          await fs.copy(this.configPath, backupPath);
+          console.log(chalk.yellow('⚠️  配置文件损坏，已备份到:'), backupPath);
+
+          this.config = this.getDefaultConfig();
+          await this._performSave();
+          this.isLoaded = true;
+          return this.config;
+        }
 
         if (!data || typeof data !== 'object' || Array.isArray(data)) {
           // 配置文件被写成非对象内容时，重置为默认配置
@@ -84,6 +100,33 @@ class ConfigManager {
     }
   }
 
+  async _checkAndFixPermissions() {
+    // Windows 不支持 Unix 文件权限
+    if (process.platform === 'win32') {
+      return;
+    }
+
+    try {
+      const stat = await fs.stat(this.configPath);
+      const mode = stat.mode & 0o777;
+
+      // 检查权限是否为 600 (仅所有者可读写) 或 400 (仅所有者可读)
+      if (mode !== 0o600 && mode !== 0o400) {
+        console.log(chalk.yellow('⚠️  配置文件权限不安全:'), mode.toString(8), chalk.gray('建议: 0600'));
+
+        try {
+          await fs.chmod(this.configPath, 0o600);
+          console.log(chalk.green('✅ 已自动修复文件权限为: 0600'));
+        } catch (chmodError) {
+          console.log(chalk.red('❌ 无法自动修复权限，请手动执行:'));
+          console.log(chalk.gray(`   chmod 600 ${this.configPath}`));
+        }
+      }
+    } catch (error) {
+      // 忽略权限检查错误，不影响主流程
+    }
+  }
+
   _migrateAuthModes() {
     // 迁移旧配置以保持向后兼容
     if (this.config.providers) {
@@ -129,6 +172,12 @@ class ConfigManager {
       // 保存前确保迁移已应用
       this._migrateAuthModes();
       await fs.writeJSON(this.configPath, this.config, { spaces: 2 });
+
+      // 设置文件权限为 600 (仅所有者可读写)
+      if (process.platform !== 'win32') {
+        await fs.chmod(this.configPath, 0o600);
+      }
+
       // 更新最后修改时间
       const stat = await fs.stat(this.configPath);
       this.lastModified = stat.mtime;
@@ -185,9 +234,9 @@ class ConfigManager {
 
   async removeProvider(name) {
     await this.ensureLoaded();
-    
+
     if (!this.config.providers[name]) {
-      throw new Error(`供应商 '${name}' 不存在`);
+      throw new Error(`供应商 '${name}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
 
     delete this.config.providers[name];
@@ -202,9 +251,9 @@ class ConfigManager {
 
   async setCurrentProvider(name) {
     await this.ensureLoaded();
-    
+
     if (!this.config.providers[name]) {
-      throw new Error(`供应商 '${name}' 不存在`);
+      throw new Error(`供应商 '${name}' 不存在\n使用 'akm list' 查看所有已配置的供应商`);
     }
 
     // 重置所有供应商的current状态

package/src/utils/config-opener.js

@@ -34,9 +34,14 @@ function openFileWithDefaultApp(filePath) {
 
 async function openAKMConfigFile() {
   if (!(await ensureConfigExists())) {
-    throw new Error('未找到 ~/.akm-config.json，请先运行 akm add 创建配置');
+    throw new Error('未找到配置文件 ~/.akm-config.json\n请先运行 \'akm add\' 创建第一个供应商配置');
+  }
+
+  try {
+    await openFileWithDefaultApp(AKM_CONFIG_FILE);
+  } catch (error) {
+    throw new Error(`无法打开配置文件: ${error.message}\n配置文件位置: ${AKM_CONFIG_FILE}`);
   }
-  await openFileWithDefaultApp(AKM_CONFIG_FILE);
 }
 
 module.exports = {

package/src/utils/env-launcher.js

@@ -1,5 +1,26 @@
 const spawn = require('cross-spawn');
 
+/**
+ * 清理环境变量值，移除危险字符
+ * @param {string} value - 要清理的值
+ * @returns {string} 清理后的值
+ */
+function sanitizeEnvValue(value) {
+  if (typeof value !== 'string') {
+    throw new Error('环境变量值必须是字符串');
+  }
+
+  // 移除控制字符
+  let cleaned = value.replace(/[\x00-\x08\x0B\x0C\x0E-\x1F]/g, '');
+
+  // 检测可能的 shell 命令注入
+  if (/[;&|`$()]/.test(cleaned)) {
+    throw new Error('环境变量值包含潜在不安全的字符');
+  }
+
+  return cleaned;
+}
+
 function clearTerminal() {
   if (!process.stdout || typeof process.stdout.write !== 'function') {
     return;
@@ -24,33 +45,37 @@ function clearTerminal() {
 function buildEnvVariables(config) {
   const env = { ...process.env };
 
-  // Claude Code 配置
-  if (config.authMode === 'oauth_token') {
-    env.CLAUDE_CODE_OAUTH_TOKEN = config.authToken;
-  } else if (config.authMode === 'api_key') {
-    env.ANTHROPIC_BASE_URL = config.baseUrl;
-    // 根据 tokenType 选择设置哪种 token
-    if (config.tokenType === 'auth_token') {
-      env.ANTHROPIC_AUTH_TOKEN = config.authToken;
+  try {
+    // Claude Code 配置
+    if (config.authMode === 'oauth_token') {
+      env.CLAUDE_CODE_OAUTH_TOKEN = sanitizeEnvValue(config.authToken);
+    } else if (config.authMode === 'api_key') {
+      env.ANTHROPIC_BASE_URL = sanitizeEnvValue(config.baseUrl);
+      // 根据 tokenType 选择设置哪种 token
+      if (config.tokenType === 'auth_token') {
+        env.ANTHROPIC_AUTH_TOKEN = sanitizeEnvValue(config.authToken);
+      } else {
+        // 默认使用 ANTHROPIC_API_KEY
+        env.ANTHROPIC_API_KEY = sanitizeEnvValue(config.authToken);
+      }
     } else {
-      // 默认使用 ANTHROPIC_API_KEY
-      env.ANTHROPIC_API_KEY = config.authToken;
+      // auth_token 模式
+      env.ANTHROPIC_BASE_URL = sanitizeEnvValue(config.baseUrl);
+      env.ANTHROPIC_AUTH_TOKEN = sanitizeEnvValue(config.authToken);
     }
-  } else {
-    // auth_token 模式
-    env.ANTHROPIC_BASE_URL = config.baseUrl;
-    env.ANTHROPIC_AUTH_TOKEN = config.authToken;
-  }
 
-  if (config.models && config.models.primary) {
-    env.ANTHROPIC_MODEL = config.models.primary;
-  }
+    if (config.models && config.models.primary) {
+      env.ANTHROPIC_MODEL = sanitizeEnvValue(config.models.primary);
+    }
 
-  if (config.models && config.models.smallFast) {
-    env.ANTHROPIC_SMALL_FAST_MODEL = config.models.smallFast;
-  }
+    if (config.models && config.models.smallFast) {
+      env.ANTHROPIC_SMALL_FAST_MODEL = sanitizeEnvValue(config.models.smallFast);
+    }
 
-  return env;
+    return env;
+  } catch (error) {
+    throw new Error(`配置验证失败: ${error.message}\n请使用 'akm edit ${config.name}' 修复配置`);
+  }
 }
 
 async function executeWithEnv(config, launchArgs = []) {
@@ -72,11 +97,17 @@ async function executeWithEnv(config, launchArgs = []) {
       if (code === 0) {
         resolve();
       } else {
-        reject(new Error(`Claude Code 退出，代码: ${code}`));
+        reject(new Error(`Claude Code 退出，退出代码: ${code}\n提示: 请检查 API 配置是否正确`));
       }
     });
 
-    child.on('error', reject);
+    child.on('error', (error) => {
+      if (error.code === 'ENOENT') {
+        reject(new Error('找不到 claude 命令\n请确认已安装 Claude Code (https://claude.com/code)'));
+      } else {
+        reject(new Error(`启动 Claude Code 失败: ${error.message}`));
+      }
+    });
   });
 }
 

package/src/utils/validator.js

@@ -3,15 +3,33 @@ const validator = {
     if (!name || typeof name !== 'string') {
       return '供应商名称不能为空';
     }
-    
+
     if (name.trim().length === 0) {
       return '供应商名称不能为空或只包含空格';
     }
-    
+
+    // 禁止文件系统特殊字符
+    if (/[<>:"/\\|?*\x00-\x1F]/.test(name)) {
+      return '供应商名称包含非法字符 (不能包含: < > : " / \\ | ? *)';
+    }
+
+    // 禁止使用保留名称 (Windows)
+    const reserved = ['CON', 'PRN', 'AUX', 'NUL', 'COM1', 'COM2', 'COM3', 'COM4',
+                      'COM5', 'COM6', 'COM7', 'COM8', 'COM9', 'LPT1', 'LPT2',
+                      'LPT3', 'LPT4', 'LPT5', 'LPT6', 'LPT7', 'LPT8', 'LPT9'];
+    if (reserved.includes(name.toUpperCase())) {
+      return '供应商名称不能使用系统保留名称';
+    }
+
+    // 禁止以点或空格开头/结尾 (Windows 限制)
+    if (/^[. ]|[. ]$/.test(name)) {
+      return '供应商名称不能以点或空格开头/结尾';
+    }
+
     if (name.length > 100) {
       return '供应商名称不能超过100个字符';
     }
-    
+
     return null;
   },
 
@@ -54,11 +72,27 @@ const validator = {
     if (!token || typeof token !== 'string') {
       return 'Token不能为空';
     }
-    
-    if (token.length < 10) {
+
+    if (token.trim().length === 0) {
+      return 'Token不能只包含空格';
+    }
+
+    if (token.trim().length < 10) {
       return 'Token长度不能少于10个字符';
     }
-    
+
+    // 检测常见的占位符文本
+    const placeholders = [
+      'your-key-here', 'your-token', 'your_key', 'your_token',
+      'example', 'test-key', 'demo', 'placeholder', 'replace-me',
+      'insert-key', 'api-key-here', 'token-here', 'xxx', 'yyy',
+      'zzz', 'abc123', '123456'
+    ];
+    const lowerToken = token.toLowerCase();
+    if (placeholders.some(p => lowerToken.includes(p))) {
+      return 'Token 似乎是占位符，请输入真实的 API Token';
+    }
+
     return null;
   },