docs/docs/fr/auth-credential-semantics.md
2026-04-05 12:58:42 +00:00

3.9 KiB
Raw Blame History

read_when summary title x-i18n
Travail sur la résolution des profils dauthentification ou le routage des identifiants
Débogage des échecs dauthentification des modèles ou de lordre des profils
Sémantique canonique déligibilité et de résolution des identifiants pour les profils dauthentification Sémantique des identifiants dauthentification
generated_at model provider source_hash source_path workflow
2026-04-05T12:34:08Z gpt-5.4 openai a4cd3e16cd25eb22c5e707311d06a19df1a59747ee3261c2d32c534a245fd7fb auth-credential-semantics.md 15

Sémantique des identifiants dauthentification

Ce document définit la sémantique canonique déligibilité et de résolution des identifiants utilisée dans lensemble de :

  • resolveAuthProfileOrder
  • resolveApiKeyForProfile
  • models status --probe
  • doctor-auth

Lobjectif est de maintenir lalignement entre le comportement au moment de la sélection et celui à lexécution.

Codes de raison de probe stables

  • ok
  • excluded_by_auth_order
  • missing_credential
  • invalid_expires
  • expired
  • unresolved_ref
  • no_model

Identifiants de jeton

Les identifiants de jeton (type: "token") prennent en charge token en ligne et/ou tokenRef.

Règles déligibilité

  1. Un profil de jeton nest pas éligible lorsque token et tokenRef sont tous deux absents.
  2. expires est facultatif.
  3. Si expires est présent, il doit sagir dun nombre fini supérieur à 0.
  4. Si expires est invalide (NaN, 0, négatif, non fini ou de type incorrect), le profil nest pas éligible avec invalid_expires.
  5. Si expires se situe dans le passé, le profil nest pas éligible avec expired.
  6. tokenRef ne contourne pas la validation de expires.

Règles de résolution

  1. La sémantique du résolveur correspond à la sémantique déligibilité pour expires.
  2. Pour les profils éligibles, le matériel de jeton peut être résolu à partir dune valeur en ligne ou de tokenRef.
  3. Les références impossibles à résoudre produisent unresolved_ref dans la sortie de models status --probe.

Filtrage explicite de lordre dauthentification

  • Lorsque auth.order.<provider> ou la surcharge dordre du magasin dauthentification est définie pour un fournisseur, models status --probe ne probe que les identifiants de profil qui restent dans lordre dauthentification résolu pour ce fournisseur.
  • Un profil stocké pour ce fournisseur qui est omis de lordre explicite nest pas essayé silencieusement plus tard. La sortie de probe le signale avec reasonCode: excluded_by_auth_order et le détail Excluded by auth.order for this provider.

Résolution de la cible de probe

  • Les cibles de probe peuvent provenir des profils dauthentification, des identifiants denvironnement ou de models.json.
  • Si un fournisseur a des identifiants mais quOpenClaw ne peut pas résoudre de candidat de modèle probeable pour lui, models status --probe signale status: no_model avec reasonCode: no_model.

Garde de politique SecretRef OAuth

  • Lentrée SecretRef est réservée aux identifiants statiques uniquement.
  • Si un identifiant de profil est de type: "oauth", les objets SecretRef ne sont pas pris en charge pour ce matériel didentifiant de profil.
  • Si auth.profiles.<id>.mode vaut "oauth", lentrée keyRef/tokenRef adossée à SecretRef pour ce profil est rejetée.
  • Les violations sont des échecs bloquants dans les chemins de résolution dauthentification au démarrage/rechargement.

Messagerie compatible avec lhistorique

Pour la compatibilité des scripts, les erreurs de probe conservent cette première ligne inchangée :

Auth profile credentials are missing or expired.

Des détails plus conviviaux et des codes de raison stables peuvent être ajoutés sur les lignes suivantes.