relayax-cli 0.2.41 → 0.3.41

package/dist/lib/config.d.ts

@@ -22,10 +22,15 @@ export declare function saveTokenData(data: TokenData): void;
 export declare function saveToken(token: string): void;
 /**
  * 유효한 access_token을 반환한다.
- * 1. 저장된 토큰이 없으면 undefined
- * 2. expires_at이 아직 유효하면 access_token 반환
- * 3. 만료되었으면 refresh_token으로 갱신 시도
- * 4. 갱신 실패 시 undefined (재로그인 필요)
+ *
+ * Supabase는 refresh token rotation을 사용하므로:
+ * - refresh 시 이전 refresh_token이 무효화됨
+ * - 병렬 CLI 호출에서 동시 refresh 방지 필요 (lock)
+ * - refresh 성공 시 새 토큰을 즉시 파일에 저장
+ *
+ * 타이밍:
+ * - 만료 10분 전부터 proactive refresh
+ * - refresh 실패해도 access_token이 아직 유효하면 계속 사용
  */
 export declare function getValidToken(): Promise<string | undefined>;
 /** 프로젝트 로컬 installed.json 읽기 */

package/dist/lib/config.js

@@ -81,56 +81,138 @@ function saveTokenData(data) {
     ensureGlobalRelayDir();
     const tokenFile = path_1.default.join(GLOBAL_RELAY_DIR, 'token');
     fs_1.default.writeFileSync(tokenFile, JSON.stringify(data), { mode: 0o600 });
+    // writeFileSync mode only applies on creation — fix existing files
+    fs_1.default.chmodSync(tokenFile, 0o600);
 }
 function saveToken(token) {
     ensureGlobalRelayDir();
     const tokenFile = path_1.default.join(GLOBAL_RELAY_DIR, 'token');
     fs_1.default.writeFileSync(tokenFile, JSON.stringify({ access_token: token }), { mode: 0o600 });
+    fs_1.default.chmodSync(tokenFile, 0o600);
 }
+const LOCK_FILE = path_1.default.join(os_1.default.homedir(), '.relay', '.token.lock');
+const LOCK_TIMEOUT = 15000; // 15s
 /**
- * 유효한 access_token을 반환한다.
- * 1. 저장된 토큰이 없으면 undefined
- * 2. expires_at이 아직 유효하면 access_token 반환
- * 3. 만료되었으면 refresh_token으로 갱신 시도
- * 4. 갱신 실패 시 undefined (재로그인 필요)
+ * 파일 기반 lock — 여러 CLI 프로세스가 동시에 refresh하는 것을 방지.
+ * Supabase refresh token rotation으로 인해 동시 refresh가 치명적.
  */
-async function getValidToken() {
-    const data = loadTokenData();
-    if (!data)
-        return undefined;
-    // expires_at이 없거나 아직 유효하면 (30초 여유) 그대로 사용
-    if (!data.expires_at || data.expires_at > Date.now() / 1000 + 30) {
-        return data.access_token;
+function acquireLock() {
+    try {
+        // O_EXCL: 파일이 이미 존재하면 실패 (atomic)
+        const fd = fs_1.default.openSync(LOCK_FILE, fs_1.default.constants.O_CREAT | fs_1.default.constants.O_EXCL | fs_1.default.constants.O_WRONLY);
+        fs_1.default.writeSync(fd, String(Date.now()));
+        fs_1.default.closeSync(fd);
+        return true;
     }
-    // 만료됨 — refresh 시도
-    if (!data.refresh_token)
-        return undefined;
+    catch {
+        // lock 파일이 이미 있음 — stale check
+        try {
+            const content = fs_1.default.readFileSync(LOCK_FILE, 'utf-8');
+            const lockTime = Number(content);
+            if (Date.now() - lockTime > LOCK_TIMEOUT) {
+                // stale lock — 제거 후 재시도
+                fs_1.default.unlinkSync(LOCK_FILE);
+                return acquireLock();
+            }
+        }
+        catch { /* ignore */ }
+        return false;
+    }
+}
+function releaseLock() {
+    try {
+        fs_1.default.unlinkSync(LOCK_FILE);
+    }
+    catch { /* ignore */ }
+}
+async function doRefresh(refreshToken) {
     try {
         const res = await fetch(`${exports.API_URL}/api/auth/refresh`, {
             method: 'POST',
             headers: { 'Content-Type': 'application/json' },
-            body: JSON.stringify({ refresh_token: data.refresh_token }),
+            body: JSON.stringify({ refresh_token: refreshToken }),
+            signal: AbortSignal.timeout(10000),
         });
         if (!res.ok)
-            return undefined;
-        const refreshed = (await res.json());
-        saveTokenData(refreshed);
-        return refreshed.access_token;
+            return null;
+        return (await res.json());
     }
     catch {
+        return null;
+    }
+}
+/**
+ * 유효한 access_token을 반환한다.
+ *
+ * Supabase는 refresh token rotation을 사용하므로:
+ * - refresh 시 이전 refresh_token이 무효화됨
+ * - 병렬 CLI 호출에서 동시 refresh 방지 필요 (lock)
+ * - refresh 성공 시 새 토큰을 즉시 파일에 저장
+ *
+ * 타이밍:
+ * - 만료 10분 전부터 proactive refresh
+ * - refresh 실패해도 access_token이 아직 유효하면 계속 사용
+ */
+async function getValidToken() {
+    // 매번 파일에서 새로 읽음 (다른 프로세스가 갱신했을 수 있으므로)
+    const data = loadTokenData();
+    if (!data)
         return undefined;
+    const now = Date.now() / 1000;
+    // expires_at이 없으면(레거시) → 유효하다고 간주
+    if (!data.expires_at)
+        return data.access_token;
+    // 10분 이상 남았으면 → 그대로 사용 (refresh 불필요)
+    if (data.expires_at > now + 600) {
+        return data.access_token;
+    }
+    // refresh_token 없으면 만료 전까지만 사용
+    if (!data.refresh_token) {
+        return data.expires_at > now ? data.access_token : undefined;
+    }
+    // Refresh 시도 — lock으로 프로세스 간 동시 refresh 방지
+    if (acquireLock()) {
+        try {
+            const refreshed = await doRefresh(data.refresh_token);
+            if (refreshed) {
+                saveTokenData(refreshed);
+                return refreshed.access_token;
+            }
+        }
+        finally {
+            releaseLock();
+        }
+    }
+    else {
+        // 다른 프로세스가 refresh 중 — 잠시 후 파일에서 다시 읽기
+        await new Promise((r) => setTimeout(r, 2000));
+        const retryData = loadTokenData();
+        if (retryData?.expires_at && retryData.expires_at > now + 30) {
+            return retryData.access_token;
+        }
     }
+    // access_token이 아직 유효하면 사용
+    return data.expires_at > now ? data.access_token : undefined;
 }
 /**
- * `@spaces/{spaceSlug}/{teamSlug}` 레거시 키를 `@{spaceSlug}/{teamSlug}`로 정규화한다.
- * installed.json 로드 시 자동 적용되어 모든 소비자가 일관된 키를 사용한다.
+ * 레거시 키 정규화:
+ * - `@spaces/{slug}/{team}` → `@{slug}/{team}` (Space 레거시)
+ * - `space_slug` → `org_slug` (필드명 마이그레이션)
  */
 function normalizeInstalledRegistry(raw) {
     const normalized = {};
     for (const [key, value] of Object.entries(raw)) {
+        // @spaces/ 레거시 키 정규화
         const m = key.match(/^@spaces\/([a-z0-9][a-z0-9-]*)\/([a-z0-9][a-z0-9-]*)$/);
         const normalizedKey = m ? `@${m[1]}/${m[2]}` : key;
-        normalized[normalizedKey] = value;
+        // space_slug → org_slug 필드 마이그레이션
+        const entry = { ...value };
+        if ('space_slug' in entry) {
+            const spaceSlugs = entry;
+            entry.org_slug = spaceSlugs.space_slug;
+            delete spaceSlugs.space_slug;
+        }
+        normalized[normalizedKey] = entry;
     }
     return normalized;
 }

package/dist/lib/preamble.js

@@ -17,11 +17,10 @@ const PREAMBLE_END = '<!-- RELAY_PREAMBLE_END -->';
  * relay CLI가 있으면 사용, 없으면 curl fallback.
  */
 function generatePreambleScript(slug, apiUrl) {
-    // slug format: @space/team → space=space, team=team
+    // slug format: @owner/team → extract team slug for ping
     const stripped = slug.startsWith('@') ? slug.slice(1) : slug;
     const slashIdx = stripped.indexOf('/');
-    const spacePart = slashIdx !== -1 ? stripped.slice(0, slashIdx) : stripped;
-    const teamPart = slashIdx !== -1 ? stripped.slice(slashIdx + 1) : stripped;
+    const teamSlug = slashIdx !== -1 ? stripped.slice(slashIdx + 1) : stripped;
     return `#!/usr/bin/env bash
 # relay-preamble.sh — auto-generated by relay publish
 set +e
@@ -32,7 +31,7 @@ DEVICE_HASH=$(echo "$HOSTNAME:$USER" | shasum -a 256 | cut -d' ' -f1)
 if command -v relay &>/dev/null; then
   relay ping "${slug}" --quiet 2>/dev/null &
 else
-  curl -sf -X POST "${apiUrl}/api/spaces/${spacePart}/teams/${teamPart}/ping" \\
+  curl -sf -X POST "${apiUrl}/api/teams/${teamSlug}/ping" \\
     -H "Content-Type: application/json" \\
     -d "{\\"device_hash\\":\\"$DEVICE_HASH\\"}" \\
     2>/dev/null &

package/dist/lib/slug.d.ts

@@ -15,6 +15,5 @@ export declare function isSimpleSlug(input: string): boolean;
 /**
  * Scoped 또는 단순 slug를 받아 ParsedSlug를 반환한다.
  * 단순 slug는 서버에 resolve를 요청한다.
- * `@spaces/{spaceSlug}/{teamSlug}` 형식은 `@{spaceSlug}/{teamSlug}`로 정규화된다.
  */
 export declare function resolveSlug(input: string): Promise<ParsedSlug>;

package/dist/lib/slug.js

@@ -28,22 +28,18 @@ function isSimpleSlug(input) {
 /**
  * Scoped 또는 단순 slug를 받아 ParsedSlug를 반환한다.
  * 단순 slug는 서버에 resolve를 요청한다.
- * `@spaces/{spaceSlug}/{teamSlug}` 형식은 `@{spaceSlug}/{teamSlug}`로 정규화된다.
  */
 async function resolveSlug(input) {
-    // @spaces/{spaceSlug}/{teamSlug} → @{spaceSlug}/{teamSlug} 정규화
-    const spacesPrefix = input.match(/^@spaces\/([a-z0-9][a-z0-9-]*)\/([a-z0-9][a-z0-9-]*)$/);
-    const normalized = spacesPrefix ? `@${spacesPrefix[1]}/${spacesPrefix[2]}` : input;
     // scoped slug면 바로 파싱
-    const parsed = parseSlug(normalized);
+    const parsed = parseSlug(input);
     if (parsed)
         return parsed;
     // 단순 slug인지 검증
-    if (!isSimpleSlug(normalized)) {
+    if (!isSimpleSlug(input)) {
         throw new Error(`잘못된 slug 형식입니다: '${input}'. @owner/name 또는 name 형태로 입력하세요.`);
     }
     // 서버에 resolve 요청
-    const results = await (0, api_js_1.resolveSlugFromServer)(normalized);
+    const results = await (0, api_js_1.resolveSlugFromServer)(input);
     if (results.length === 0) {
         throw new Error(`'${input}' 팀을 찾을 수 없습니다.`);
     }

package/dist/types.d.ts

@@ -10,8 +10,8 @@ export interface InstalledTeam {
     installed_at: string;
     files: string[];
     type?: 'team' | 'system';
-    /** Space 소속 팀인 경우 Space slug */
-    space_slug?: string;
+    /** Org 소속 팀인 경우 Org slug */
+    org_slug?: string;
     /** 배치 범위 — 에이전트가 relay deploy-record로 기록 */
     deploy_scope?: 'global' | 'local';
     /** 배치된 파일 절대경로 목록 — 에이전트가 relay deploy-record로 기록 */

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "relayax-cli",
-  "version": "0.2.41",
+  "version": "0.3.41",
   "description": "RelayAX Agent Team Marketplace CLI - Install and manage agent teams",
   "main": "dist/index.js",
   "bin": {