npm - connectbase-client - Versions diffs - 3.26.0 → 3.27.1 - Mend

connectbase-client 3.26.0 → 3.27.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (8) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -3,6 +3,38 @@
 본 SDK 의 모든 주요 변경사항을 [Keep a Changelog](https://keepachangelog.com/ko/1.1.0/) 형식으로 기록합니다.
 버전은 [Semantic Versioning](https://semver.org/lang/ko/) 을 따릅니다.
+## [3.27.0] - 2026-05-28
+### Fixed — `signInAsGuestMember` 의 silent session overwrite 차단 + 게스트 식별 필드 노출 (platform-issue 019e6c5d)
+같은 origin + 같은 publicKey 에서 OAuth 로그인이 활성인 채 다른 페이지/탭/콘솔에서
+`cb.auth.signInAsGuestMember()` 가 호출되면, 게스트 토큰이 메인 토큰 슬롯
+(`cb_auth_tokens_<hash>`) 을 silent 로 덮어써 사용자가 자동 생성된 게스트로 둔갑되던
+회귀(sisun 운영 보고, 2026-05-28). 클라이언트는 둔갑 사실을 결정적으로 식별할
+신호가 없어 닉네임 휴리스틱이나 SDK 내부 storage key 컨벤션에 결합된 비공식 우회에
+의존해야 했다.
+- **`api/auth.ts` — `signInAsGuestMember(opts?)`** — 활성 비-게스트 세션이 감지되면
+  새 `GuestSessionConflictError` 를 던지고 진행을 거부한다. 명시적으로 교체하려면
+  `{ allowOverrideExistingSession: true }` 옵션을 전달해야 한다. 활성 게스트 토큰을
+  그대로 재사용하는 정상 경로는 그대로 통과한다.
+- **`types/error.ts` — `GuestSessionConflictError`** 신규 export. `code = 'GUEST_SESSION_CONFLICT'`.
+  index 에서도 re-export.
+- **`types/auth.ts` — `MemberInfoResponse`** 에 `is_guest?: boolean` + `auth_provider?: string`
+  추가. `auth_provider` 값은 `'guest' | 'email' | 'username' | 'oauth_<provider>'` 컨벤션.
+- **백엔드 동반 변경** — `core-server` 의 `GET /v1/public/app-members/me` 응답에 동일
+  필드가 같은 의미로 추가된다 (`appmember.Edges.Identities` 우선순위 OAuth > email >
+  username > guest).
+- **회귀 가드 테스트** — `test/signin-as-guest-session-guard.test.ts` (5 케이스).
+#### Behavior change 영향
+- 가드는 default-on. 활성 OAuth/email 세션 위에서 옵션 없이 `signInAsGuestMember()`
+  를 호출하던 코드는 이제 throw 된다. RLS 우회용 cron 처럼 의도적으로 게스트를
+  강제 갱신해야 하는 경우 `{ allowOverrideExistingSession: true }` 를 명시할 것.
+- 응답 필드 추가만 있는 변경이므로 `getMe()` 호출자는 영향 없음. `is_guest` 를
+  활용하면 SDK 내부 storage key 컨벤션에 결합된 비공식 휴리스틱을 제거할 수 있다.
 ## [3.26.0] - 2026-05-28
 ### Security — LLM provider API key 클라이언트 하드코딩 금지 명시화

package/dist/cli.js CHANGED Viewed

@@ -32,6 +32,7 @@ var __toCommonJS = (mod) => __copyProps(__defProp({}, "__esModule", { value: tru
 var cli_exports = {};
 __export(cli_exports, {
   computeDeployDiff: () => computeDeployDiff,
+  makeRequest: () => makeRequest,
   normalizeRelativePath: () => normalizeRelativePath,
   parseArgs: () => parseArgs,
   registerEndpointBinding: () => registerEndpointBinding,
@@ -301,9 +302,10 @@ async function makeRequest(url, method, headers, body, reqOpts = {}) {
       }
     };
     const req = lib.request(options, (res) => {
-      let data = "";
-      res.on("data", (chunk) => data += chunk);
+      const chunks = [];
+      res.on("data", (chunk) => chunks.push(chunk));
       res.on("end", () => {
+        const data = Buffer.concat(chunks).toString("utf8");
         try {
           resolve2({
             status: res.statusCode || 0,
@@ -2560,6 +2562,7 @@ main().catch((err) => {
 // Annotate the CommonJS export names for ESM import in node:
 0 && (module.exports = {
   computeDeployDiff,
+  makeRequest,
   normalizeRelativePath,
   parseArgs,
   registerEndpointBinding,