vitaly.nikitenko/ai-setup
0
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: определение Claude-аккаунта по токену вместо auth status

Browse Source 
Корень багов с потерей токенов: claude auth status читает
oauthAccount.emailAddress из ~/.claude.json, который рассинхронизирован
с реальным токеном в .credentials.json. Из-за этого хуки определяли
текущий аккаунт неверно и сохраняли активный токен под чужим именем,
затирая credentials другого аккаунта.

- account-email.sh (новый): определяет email по OAuth-токену —
  локальный матчинг с accounts/, затем API /api/oauth/profile
- switch-account-hook.sh: current выводится из токена, а не из
  auth status/хрупкого файла current — порча файлов исключена.
  Перезапуск не нужен: на Linux Claude Code перечитывает
  .credentials.json на лету
- add-account-hook.sh: email нового аккаунта тоже через хелпер
- skill add-account: убрано упоминание перезапуска
- ai-setup.sh: деплой account-email.sh (секция 6.7.05)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
vitaly
2026-06-12 09:06:44 +03:00
parent fe439fd4a6
commit f3d1b6d5c5
5 changed files with 74 additions and 29 deletions
Download Patch File Download Diff File Expand all files Collapse all files

33
home-configs/claude/hooks/account-email.sh Normal file
View File

@@ -0,0 +1,33 @@
#!/usr/bin/env bash
# Определяет email Claude.ai аккаунта по OAuth-токену в credentials-файле.
# Источник истины — сам токен (НЕ claude auth status, который читает
# рассинхронизированный oauthAccount из ~/.claude.json).
# Сначала локальный матчинг с сохранёнными accounts/, затем API /api/oauth/profile.
# Использование: account-email.sh [credentials-file] (по умолчанию ~/.claude/.credentials.json)
CREDS="${1:-$HOME/.claude/.credentials.json}"
ACCOUNTS_DIR="$HOME/.claude/accounts"
[ -f "$CREDS" ] || exit 0
token=$(jq -r '.claudeAiOauth.accessToken // empty' "$CREDS" 2>/dev/null)
[ -z "$token" ] && exit 0
# 1) Локальный матчинг по токену с сохранёнными аккаунтами (мгновенно)
if [ -d "$ACCOUNTS_DIR" ]; then
for f in "$ACCOUNTS_DIR"/*.credentials.json; do
[ -f "$f" ] || continue
t=$(jq -r '.claudeAiOauth.accessToken // empty' "$f" 2>/dev/null)
if [ -n "$t" ] && [ "$t" = "$token" ]; then
basename "$f" .credentials.json
exit 0
fi
done
fi
# 2) Достоверно через API (по реальному владельцу токена)
email=$(curl -s --max-time 15 "https://api.anthropic.com/api/oauth/profile" \
-H "Authorization: Bearer $token" \
-H "anthropic-beta: oauth-2025-04-20" 2>/dev/null \
| jq -r '.account.email // empty' 2>/dev/null)
[ -n "$email" ] && echo "$email"
exit 0

14
home-configs/claude/hooks/add-account-hook.sh
View File

@@ -1,8 +1,9 @@
#!/usr/bin/env bash #!/usr/bin/env bash
# UserPromptSubmit hook: перехватывает /add-account. # UserPromptSubmit hook: перехватывает /add-account.
# 1) сохраняет текущий аккаунт по его реальному email (claude auth status) # 1) сохраняет текущий аккаунт по его реальному email (account-email.sh)
# 2) запускает oauth-логин в фоне (открывает браузер) # 2) запускает oauth-логин в фоне (открывает браузер)
# 3) после логина фоновый процесс сам сохраняет новый аккаунт и делает его current # 3) после логина фоновый процесс сам определяет email нового аккаунта по токену
# и сохраняет его credentials + делает current
input=$(cat) input=$(cat)
prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null) prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null)
@@ -13,12 +14,13 @@ normalized=$(echo "$prompt" | sed 's|^[[:space:]]*/||; s|[[:space:]]*$||')
CREDS="$HOME/.claude/.credentials.json" CREDS="$HOME/.claude/.credentials.json"
ACCOUNTS_DIR="$HOME/.claude/accounts" ACCOUNTS_DIR="$HOME/.claude/accounts"
CURRENT_FILE="$ACCOUNTS_DIR/current" CURRENT_FILE="$ACCOUNTS_DIR/current"
EMAIL_HELPER="$HOME/.claude/hooks/account-email.sh"
mkdir -p "$ACCOUNTS_DIR" mkdir -p "$ACCOUNTS_DIR"
# Сохраняем текущий активный аккаунт под его реальным email (источник истины — auth status) # Сохраняем текущий активный аккаунт под его реальным email (по токену)
if [ -f "$CREDS" ]; then if [ -f "$CREDS" ]; then
cur_email=$(claude auth status 2>/dev/null | jq -r '.email // empty' 2>/dev/null) cur_email=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
if [ -n "$cur_email" ]; then if [ -n "$cur_email" ]; then
cp "$CREDS" "$ACCOUNTS_DIR/${cur_email}.credentials.json" cp "$CREDS" "$ACCOUNTS_DIR/${cur_email}.credentials.json"
chmod 600 "$ACCOUNTS_DIR/${cur_email}.credentials.json" chmod 600 "$ACCOUNTS_DIR/${cur_email}.credentials.json"
@@ -28,10 +30,10 @@ fi
# Фоновый процесс: логин нового аккаунта + автосохранение после успеха. # Фоновый процесс: логин нового аккаунта + автосохранение после успеха.
# claude auth login ждёт авторизации в браузере и завершается после неё, # claude auth login ждёт авторизации в браузере и завершается после неё,
# затем мы читаем новый email и сохраняем credentials под ним. # затем определяем email нового аккаунта по токену (через API) и сохраняем.
( (
claude auth login --claudeai </dev/null >/tmp/claude-add-account.log 2>&1 claude auth login --claudeai </dev/null >/tmp/claude-add-account.log 2>&1
new_email=$(claude auth status 2>/dev/null | jq -r '.email // empty' 2>/dev/null) new_email=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
if [ -n "$new_email" ] && [ -f "$CREDS" ]; then if [ -n "$new_email" ] && [ -f "$CREDS" ]; then
cp "$CREDS" "$ACCOUNTS_DIR/${new_email}.credentials.json" cp "$CREDS" "$ACCOUNTS_DIR/${new_email}.credentials.json"
chmod 600 "$ACCOUNTS_DIR/${new_email}.credentials.json" chmod 600 "$ACCOUNTS_DIR/${new_email}.credentials.json"

43
home-configs/claude/hooks/switch-account-hook.sh
View File

@@ -1,36 +1,44 @@
#!/usr/bin/env bash #!/usr/bin/env bash
# UserPromptSubmit hook: перехватывает /switch-account и обновляет аккаунт. # UserPromptSubmit hook: перехватывает /switch-account и циклически меняет аккаунт.
# Используем exit 0 (не exit 2) чтобы Claude ответил - это единственный способ # Текущий аккаунт определяется ПО ТОКЕНУ в .credentials.json (account-email.sh),
# обновить статусную строку, т.к. Claude Code перерисовывает её только после ответа LLM. # а не по claude auth status — он читает рассинхронизированный oauthAccount.
# На Linux Claude Code перечитывает .credentials.json на лету: новый аккаунт
# применяется со следующего сообщения, перезапуск не нужен.
# exit 0 (не exit 2): /switch-account доходит до Claude, грузится скилл,
# отвечает "✓" (1 токен) — так перерисовывается статусная строка.
input=$(cat) input=$(cat)
prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null) prompt=$(echo "$input" | jq -r '.user_prompt // .prompt // empty' 2>/dev/null)
# Нормализуем: убираем пробелы и слэш в начале
normalized=$(echo "$prompt" | sed 's|^[[:space:]]*/||; s|[[:space:]]*$||') normalized=$(echo "$prompt" | sed 's|^[[:space:]]*/||; s|[[:space:]]*$||')
[ "$normalized" != "switch-account" ] && exit 0 [ "$normalized" != "switch-account" ] && exit 0
# --- Переключаем аккаунт ---
ACCOUNTS_DIR="$HOME/.claude/accounts" ACCOUNTS_DIR="$HOME/.claude/accounts"
CREDS="$HOME/.claude/.credentials.json" CREDS="$HOME/.claude/.credentials.json"
CURRENT_FILE="$ACCOUNTS_DIR/current" CURRENT_FILE="$ACCOUNTS_DIR/current"
EMAIL_HELPER="$HOME/.claude/hooks/account-email.sh"
mkdir -p "$ACCOUNTS_DIR" mkdir -p "$ACCOUNTS_DIR"
# Реальный текущий аккаунт — по токену активной сессии (не по хрупкому current)
current=$(bash "$EMAIL_HELPER" "$CREDS" 2>/dev/null)
[ -z "$current" ] && current=$(cat "$CURRENT_FILE" 2>/dev/null)
# Сохранить актуальные (возможно обновлённые рефрешем) токены под реальным email.
# current выведен из самого токена — порча файла другого аккаунта исключена.
if [ -n "$current" ] && [ -f "$CREDS" ]; then
cp "$CREDS" "$ACCOUNTS_DIR/${current}.credentials.json"
chmod 600 "$ACCOUNTS_DIR/${current}.credentials.json"
fi
mapfile -t accounts < <(ls "$ACCOUNTS_DIR"/*.credentials.json 2>/dev/null \ mapfile -t accounts < <(ls "$ACCOUNTS_DIR"/*.credentials.json 2>/dev/null \
| xargs -I{} basename {} .credentials.json | sort) | xargs -I{} basename {} .credentials.json | sort)
if [ ${#accounts[@]} -eq 0 ]; then if [ ${#accounts[@]} -le 1 ]; then
echo "Аккаунты не настроены. Создай ~/.claude/accounts/<name>.credentials.json для каждого аккаунта." >&2 echo "Только один аккаунт (${current:-нет}). Добавь второй через /add-account." >&2
exit 2 exit 2
fi fi
# Реальный активный аккаунт — источник истины claude auth status (а не хрупкий
# файл current). Это защищает от порчи сохранённых credentials при рассинхроне.
current=$(claude auth status 2>/dev/null | jq -r '.email // empty' 2>/dev/null)
[ -z "$current" ] && current=$(cat "$CURRENT_FILE" 2>/dev/null || echo "")
# Найти следующий по кругу # Найти следующий по кругу
idx=-1 idx=-1
for i in "${!accounts[@]}"; do for i in "${!accounts[@]}"; do
@@ -39,17 +47,8 @@ done
next_idx=$(( (idx + 1) % ${#accounts[@]} )) next_idx=$(( (idx + 1) % ${#accounts[@]} ))
next="${accounts[$next_idx]}" next="${accounts[$next_idx]}"
# Сохранить текущие (возможно обновлённые Claude Code) токены обратно в файл аккаунта
if [ -n "$current" ] && [ -f "$CREDS" ]; then
cp "$CREDS" "$ACCOUNTS_DIR/${current}.credentials.json"
chmod 600 "$ACCOUNTS_DIR/${current}.credentials.json"
fi
cp "$ACCOUNTS_DIR/${next}.credentials.json" "$CREDS" cp "$ACCOUNTS_DIR/${next}.credentials.json" "$CREDS"
chmod 600 "$CREDS" chmod 600 "$CREDS"
echo "$next" > "$CURRENT_FILE" echo "$next" > "$CURRENT_FILE"
# exit 0 (не exit 2): оригинальный /switch-account доходит до Claude,
# Claude загружает скилл switch-account, скилл велит ответить только "✓" (1 токен).
# Это единственный способ обновить статусную строку без лишних токенов.
exit 0 exit 0

2
home-configs/claude/skills/add-account/SKILL.md
View File

@@ -5,4 +5,4 @@ description: Add a new Claude.ai account (handled by UserPromptSubmit hook, no L
Хук сохранил текущий аккаунт и открыл браузер для логина нового. Ответь ТОЛЬКО этим текстом (без markdown, без лишних слов): Хук сохранил текущий аккаунт и открыл браузер для логина нового. Ответь ТОЛЬКО этим текстом (без markdown, без лишних слов):
Браузер открыт — авторизуйся там. После авторизации новый аккаунт сохранится автоматически (никаких ручных шагов). Затем перезапусти ai-claude — он подхватит новый аккаунт, и /switch-account будет переключать между всеми. Браузер открыт — авторизуйся там. После авторизации новый аккаунт сохранится автоматически и сразу станет активным (Claude Code на Linux перечитывает токен на лету). /switch-account переключает между всеми сохранёнными аккаунтами по кругу.

11
scripts/ai-setup.sh
View File

@@ -717,6 +717,17 @@ if isinstance(stop, list):
PYEOF PYEOF
success "Старый хук effort-save удалён" success "Старый хук effort-save удалён"
# ── 6.7.05. Хелпер account-email (определение email по токену) ──
# Вспомогательный скрипт для хуков switch-account/add-account.
# Не регистрируется в settings.json — вызывается из хуков напрямую.
EMAIL_HELPER_SRC="$SCRIPT_DIR/home-configs/claude/hooks/account-email.sh"
EMAIL_HELPER_DST="$HOME/.claude/hooks/account-email.sh"
mkdir -p "$HOME/.claude/hooks"
if [ -f "$EMAIL_HELPER_SRC" ]; then
cp "$EMAIL_HELPER_SRC" "$EMAIL_HELPER_DST"
chmod +x "$EMAIL_HELPER_DST"
fi
# ── 6.7.1. Хук switch-account ─────────────────────────────────── # ── 6.7.1. Хук switch-account ───────────────────────────────────
info "Деплою хук switch-account..." info "Деплою хук switch-account..."
SWITCH_HOOK_SRC="$SCRIPT_DIR/home-configs/claude/hooks/switch-account-hook.sh" SWITCH_HOOK_SRC="$SCRIPT_DIR/home-configs/claude/hooks/switch-account-hook.sh"