npm - @yhonda/gcloud-secrets - Versions diffs - 3.0.0 → 3.1.0 - Mend

@yhonda/gcloud-secrets 3.0.0 → 3.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (3) hide show

package/cli.js CHANGED Viewed

@@ -46,6 +46,8 @@ function getConfig() {
     ageKeyPath: process.env.AGE_KEY_PATH || join(homedir(), ".age", "key.txt"),
     googleClientId: process.env.GOOGLE_CLIENT_ID || "",
     googleClientSecret: process.env.GOOGLE_CLIENT_SECRET || "",
+    googleDeviceClientId: process.env.GOOGLE_DEVICE_CLIENT_ID || "",
+    googleDeviceClientSecret: process.env.GOOGLE_DEVICE_CLIENT_SECRET || "",
   };
   if (existsSync(configFile)) {
     const content = readFileSync(configFile, "utf-8");
@@ -56,6 +58,8 @@ function getConfig() {
       ['AGE_KEY_PATH', 'ageKeyPath'],
       ['GOOGLE_CLIENT_ID', 'googleClientId'],
       ['GOOGLE_CLIENT_SECRET', 'googleClientSecret'],
+      ['GOOGLE_DEVICE_CLIENT_ID', 'googleDeviceClientId'],
+      ['GOOGLE_DEVICE_CLIENT_SECRET', 'googleDeviceClientSecret'],
     ]) {
       const match = content.match(new RegExp(`^${envKey}=(.+)$`, 'm'));
       if (match) config[configKey] = match[1].trim();
@@ -107,38 +111,86 @@ function getAgePublicKeyFromFile(keyPath) {
 const OAUTH_REDIRECT_PORT = 3456;
 const OAUTH_REDIRECT_URI = `http://localhost:${OAUTH_REDIRECT_PORT}/callback`;
 const OAUTH_SCOPES = ['https://www.googleapis.com/auth/drive'];
+const DEVICE_CODE_URL = 'https://oauth2.googleapis.com/device/code';
+const TOKEN_URL = 'https://oauth2.googleapis.com/token';
+const DEVICE_GRANT_TYPE = 'urn:ietf:params:oauth:grant-type:device_code';
 function getTokenPath() {
   return join(homedir(), '.secrets-manager-oauth.json');
 }
-async function getAuthClient(config) {
-  if (!config.googleClientId || !config.googleClientSecret) {
-    console.error('エラー: Google OAuth クライアント ID/Secret が設定されていません');
-    console.error('init コマンドで --client-id と --client-secret を指定してください');
-    process.exit(1);
+async function performDeviceFlow(config) {
+  if (!config.googleDeviceClientId || !config.googleDeviceClientSecret) {
+    throw new Error(
+      'Device flow 用 OAuth client が未設定です。\n' +
+      '~/.secrets-manager.conf に GOOGLE_DEVICE_CLIENT_ID / GOOGLE_DEVICE_CLIENT_SECRET を設定してください\n' +
+      '(Google Cloud Console → OAuth 2.0 クライアント ID → "TVs and Limited Input devices" タイプ)'
+    );
   }
-  const oauth2Client = new google.auth.OAuth2(
-    config.googleClientId,
-    config.googleClientSecret,
-    OAUTH_REDIRECT_URI
-  );
-  const tokenPath = getTokenPath();
-  if (existsSync(tokenPath)) {
-    const tokens = JSON.parse(readFileSync(tokenPath, 'utf-8'));
-    oauth2Client.setCredentials(tokens);
-    oauth2Client.on('tokens', (newTokens) => {
-      try {
-        const saved = JSON.parse(readFileSync(tokenPath, 'utf-8'));
-        writeFileSync(tokenPath, JSON.stringify({ ...saved, ...newTokens }, null, 2));
-      } catch { }
+  // Step 1: Device code 取得
+  const deviceRes = await fetch(DEVICE_CODE_URL, {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
+    body: new URLSearchParams({
+      client_id: config.googleDeviceClientId,
+      scope: OAUTH_SCOPES.join(' '),
+    }),
+  });
+  if (!deviceRes.ok) {
+    const text = await deviceRes.text();
+    throw new Error(`Device code リクエスト失敗 (${deviceRes.status}): ${text}`);
+  }
+  const dc = await deviceRes.json();
+  // dc: { device_code, user_code, verification_url, expires_in, interval }
+  // Step 2: ユーザーへ案内
+  console.log('\n認証するには、以下の URL を別デバイスのブラウザで開き、コードを入力してください:');
+  console.log(`  URL:  ${dc.verification_url}`);
+  console.log(`  Code: ${dc.user_code}`);
+  console.log(`  (有効期限 ${Math.floor(dc.expires_in / 60)} 分、待機中...)\n`);
+  // Step 3: Poll
+  const pollInterval = Math.max(dc.interval || 5, 1);
+  const deadline = Date.now() + dc.expires_in * 1000;
+  let currentInterval = pollInterval;
+  while (Date.now() < deadline) {
+    await new Promise((r) => setTimeout(r, currentInterval * 1000));
+    const tokenRes = await fetch(TOKEN_URL, {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
+      body: new URLSearchParams({
+        client_id: config.googleDeviceClientId,
+        client_secret: config.googleDeviceClientSecret,
+        device_code: dc.device_code,
+        grant_type: DEVICE_GRANT_TYPE,
+      }),
     });
-    return oauth2Client;
+    const data = await tokenRes.json();
+    if (data.error === 'authorization_pending') continue;
+    if (data.error === 'slow_down') { currentInterval += 5; continue; }
+    if (data.error === 'access_denied') throw new Error('ユーザーが認証を拒否しました');
+    if (data.error === 'expired_token') throw new Error('Device code が失効しました、再実行してください');
+    if (data.error) throw new Error(`Device flow エラー: ${data.error} ${data.error_description || ''}`);
+    if (data.access_token) {
+      const tokenPath = getTokenPath();
+      // _client_type マーカーで、後続の refresh 時にどの client で発行されたか判別する
+      const annotated = { ...data, _client_type: 'device' };
+      writeFileSync(tokenPath, JSON.stringify(annotated, null, 2));
+      console.log('認証完了');
+      return annotated;
+    }
   }
+  throw new Error('Device flow タイムアウト');
+}
+function isInvalidGrantError(err) {
+  const msg = String(err?.message || '');
+  const data = err?.response?.data || {};
+  return msg.includes('invalid_grant') || data.error === 'invalid_grant';
+}
-  // 初回認証フロー
+async function performOAuthFlow(oauth2Client) {
   const authUrl = oauth2Client.generateAuthUrl({
     access_type: 'offline',
     scope: OAUTH_SCOPES,
@@ -146,11 +198,17 @@ async function getAuthClient(config) {
   });
   console.log('ブラウザで認証を行います...');
+  let browserOpened = false;
   try {
     const openCmd = process.platform === 'darwin' ? 'open' : 'xdg-open';
     execSync(`${openCmd} "${authUrl}"`, { stdio: 'ignore' });
-  } catch {
-    console.log(`以下のURLをブラウザで開いてください:\n${authUrl}`);
+    browserOpened = true;
+  } catch { }
+  if (!browserOpened) {
+    console.log(`ブラウザが開けませんでした。以下のURLを手動で開いてください:\n${authUrl}`);
+  } else {
+    // リモートセッションなど stdio 共有環境用に URL も常時表示
+    console.log(`(ブラウザが開かない場合は以下を開いてください)\n${authUrl}`);
   }
   const code = await new Promise((resolve, reject) => {
@@ -177,6 +235,7 @@ async function getAuthClient(config) {
   const { tokens } = await oauth2Client.getToken(code);
   oauth2Client.setCredentials(tokens);
+  const tokenPath = getTokenPath();
   writeFileSync(tokenPath, JSON.stringify(tokens, null, 2));
   console.log('認証完了');
@@ -190,6 +249,43 @@ async function getAuthClient(config) {
   return oauth2Client;
 }
+async function getAuthClient(config) {
+  const tokenPath = getTokenPath();
+  // 既存 token があれば、発行元 client (desktop / device) を判別して対応する credential を使う
+  if (existsSync(tokenPath)) {
+    const tokens = JSON.parse(readFileSync(tokenPath, 'utf-8'));
+    const isDeviceToken = tokens._client_type === 'device';
+    const clientId = isDeviceToken ? config.googleDeviceClientId : config.googleClientId;
+    const clientSecret = isDeviceToken ? config.googleDeviceClientSecret : config.googleClientSecret;
+    if (!clientId || !clientSecret) {
+      console.error(`エラー: token (${isDeviceToken ? 'device' : 'desktop'}) 発行元の OAuth client 情報が未設定です`);
+      process.exit(1);
+    }
+    const oauth2Client = new google.auth.OAuth2(clientId, clientSecret, OAUTH_REDIRECT_URI);
+    oauth2Client.setCredentials(tokens);
+    oauth2Client.on('tokens', (newTokens) => {
+      try {
+        const saved = JSON.parse(readFileSync(tokenPath, 'utf-8'));
+        writeFileSync(tokenPath, JSON.stringify({ ...saved, ...newTokens }, null, 2));
+      } catch { }
+    });
+    return oauth2Client;
+  }
+  // token 無し → 初回 desktop OAuth (init 用)
+  if (!config.googleClientId || !config.googleClientSecret) {
+    console.error('エラー: Google OAuth クライアント ID/Secret が設定されていません');
+    console.error('init コマンドで --client-id と --client-secret を指定してください');
+    process.exit(1);
+  }
+  const oauth2Client = new google.auth.OAuth2(
+    config.googleClientId,
+    config.googleClientSecret,
+    OAUTH_REDIRECT_URI
+  );
+  return performOAuthFlow(oauth2Client);
+}
 async function getDriveClient(config) {
   const auth = await getAuthClient(config);
   return google.drive({ version: 'v3', auth });
@@ -501,6 +597,55 @@ async function runCli(args) {
         break;
       }
+      case "reauth": {
+        // init 済み前提
+        if (!config.driveFolderId) {
+          console.error('エラー: DRIVE_FOLDER_ID が未設定です');
+          console.error('先に init を実行してください');
+          process.exit(1);
+        }
+        if (!config.googleDeviceClientId || !config.googleDeviceClientSecret) {
+          console.error('エラー: Device flow 用 OAuth client が未設定です');
+          console.error('~/.secrets-manager.conf に GOOGLE_DEVICE_CLIENT_ID / GOOGLE_DEVICE_CLIENT_SECRET を追加してください');
+          console.error('(Google Cloud Console → OAuth 2.0 クライアント ID → "TVs and Limited Input devices" タイプを作成)');
+          process.exit(1);
+        }
+        // 失効 token を退避
+        const tokenPath = getTokenPath();
+        if (existsSync(tokenPath)) {
+          const backupPath = `${tokenPath}.stale-${Date.now()}`;
+          try {
+            writeFileSync(backupPath, readFileSync(tokenPath));
+            rmSync(tokenPath);
+            console.log(`旧 token を退避: ${backupPath}`);
+          } catch (e) {
+            console.error(`警告: 旧 token の退避に失敗: ${e.message}`);
+          }
+        }
+        // Device Flow 実行 (別デバイスのブラウザで承認)
+        const tokens = await performDeviceFlow(config);
+        // googleapis の OAuth2 クライアントにトークンを流し込んで Drive 疎通確認
+        const oauth2Client = new google.auth.OAuth2(
+          config.googleDeviceClientId,
+          config.googleDeviceClientSecret
+        );
+        oauth2Client.setCredentials(tokens);
+        const drive = google.drive({ version: 'v3', auth: oauth2Client });
+        try {
+          const res = await drive.files.get({ fileId: config.driveFolderId, fields: 'id, name' });
+          console.log(`Drive フォルダ確認: ${res.data.name} (${config.driveFolderId})`);
+        } catch (e) {
+          console.error(`警告: Drive フォルダ検証失敗 (${e.message})`);
+          console.error('token は更新済み。フォルダ ID / 権限を確認してください');
+          process.exit(1);
+        }
+        console.log('再認証完了');
+        break;
+      }
       case "list": {
         const folder = parsed.positional[1];
         const drive = await getDriveClient(config);
@@ -733,7 +878,15 @@ async function runCli(args) {
         let drive;
         try { drive = await getDriveClient(config); } catch { process.exit(0); }
+        let reauthWarned = false;
+        const warnReauth = () => {
+          if (reauthWarned) return;
+          reauthWarned = true;
+          console.error('⚠ OAuth expired. Run `gcloud-secrets reauth` to re-authenticate.');
+        };
         for (const envFile of envFiles) {
+          if (reauthWarned) break;
           let content;
           try { content = readFileSync(envFile.path, 'utf-8'); } catch { continue; }
           if (!content.trim()) continue;
@@ -797,6 +950,10 @@ async function runCli(args) {
               syncedAt: new Date().toISOString()
             };
           } catch (error) {
+            if (isInvalidGrantError(error)) {
+              warnReauth();
+              break;
+            }
             console.log(`⚠ ${envFile.filename}: sync skipped (${error.message})`);
           }
         }
@@ -1006,6 +1163,7 @@ exit 0
 使い方:
   gcloud-secrets init [drive-folder-id] --client-id <id> --client-secret <secret> [--env <default>]
                                                    初期設定 (OAuth + age 鍵 + Drive フォルダ)
+  gcloud-secrets reauth                            OAuth token 再認証のみ (config は保持)
   gcloud-secrets list [folder] [--env <env>]       一覧表示
   gcloud-secrets pull [folder] [--env <env>]       シークレットを取得
   gcloud-secrets push [folder] [file] [--env <env>] シークレットをアップロード

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@yhonda/gcloud-secrets",
-  "version": "3.0.0",
+  "version": "3.1.0",
   "description": "Google Drive + age 暗号化でシークレットを管理する CLI ツール",
   "type": "module",
   "main": "cli.js",

package/skills/secrets.md CHANGED Viewed

@@ -15,6 +15,26 @@ Google Drive + OAuth + age 鍵の初期設定を行います。
 - `--age-key <path>` で age 秘密鍵パスを指定（省略時は `~/.age/key.txt`、未作成なら自動生成）
 - `--age-pub <key>` で age 公開鍵を指定（省略時は秘密鍵ファイルから自動取得）
+### 再認証 (reauth)
+```bash
+gcloud-secrets reauth
+```
+OAuth token が失効した (refresh token invalid_grant) 時に、**token だけ** を更新します。
+- 既存 config (DRIVE_FOLDER_ID / OAuth client / age 鍵) には一切触れない
+- 失効 token は `~/.secrets-manager-oauth.json.stale-<timestamp>` に退避
+- **OAuth 2.0 Device Flow** (Tailscale 風) で認証: URL + ユーザーコード表示 → 別デバイスで承認 → CLI は token エンドポイントを poll
+- リモート SSH / ヘッドレス環境でも動作 (ローカルブラウザ不要)
+- OAuth フロー後に Drive フォルダの read 疎通も確認
+- pre-commit hook が `invalid_grant` を検知すると `reauth` の実行を促すメッセージを表示 (commit は blocking しない)
+**前提**: `~/.secrets-manager.conf` に以下を追加しておくこと (Google Cloud Console で "TVs and Limited Input devices" タイプの OAuth client を作成):
+```
+GOOGLE_DEVICE_CLIENT_ID=xxxxx.apps.googleusercontent.com
+GOOGLE_DEVICE_CLIENT_SECRET=GOCSPX-xxxxx
+```
+Init の desktop flow で取った token と device flow で取った token は `_client_type` マーカーで区別され、自動で適切な client 情報で refresh されます。
 ### 一覧表示
 ```bash
 # フォルダ一覧 (環境ごとにグループ化)