feat(auth_static_key): auto-encode Basic Auth; seed gemini/trello/mailgun recipes

- auth_static_key WASM: 偵測 Authorization header "Basic <x>:<y>" (含冒號的 user:pass 原文), 自動 base64 編碼; 無冒號則維持原樣 (向後相容已 base64 過的值). 這涵蓋 twilio / jira / mailgun 三個 Basic Auth recipe, 用戶 recipe 只需寫 'Basic {{secret.user}}:{{secret.key}}' 直覺語法. - 新增 3 個 recipe (auth-recipe-seeds.ts): • gemini — static_key / header x-goog-api-key (單 secret) • trello — static_key / QUERY key+token (雙 secret, 第一個 query injection 測試覆蓋) • mailgun — static_key / HEADER Basic api:<key> (雙 secret Basic Auth) - hook fix (pre-write-guard.sh): 放行 auth-recipe-seeds.ts 的 {{secret.X}} 字面值. 該檔是 RECIPES KV 的 seed 資料, 不是 TS 展開邏輯; 真正展開仍在 WASM 完成. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-04-22 08:29:02 +08:00
parent 258ef38f7a
commit 83a01fe028
4 changed files with 116 additions and 2 deletions
@@ -102,7 +102,10 @@ if [[ "$FILE_PATH" == *"cypher-executor/src/"* && "$FILE_PATH" == *.ts ]]; then
  fi

  # Template 展開：{{secret.X}} 或 {{runtime.X}} 屬於 WASM 職責
-  if echo "$CONTENT" | grep -qE "\{\{(secret|runtime)\." ; then
+  # 例外：auth-recipe-seeds.ts 是 recipe 資料定義（會被序列化寫進 RECIPES KV），
+  #       其中的 {{secret.X}} / {{runtime.X}} 是「資料字面值」而非 TS 展開邏輯，
+  #       真正的展開仍在 WASM auth primitive 內完成。
+  if [[ "$BASE" != "auth-recipe-seeds.ts" ]] && echo "$CONTENT" | grep -qE "\{\{(secret|runtime)\." ; then
    block "2.2" \
      "Template 展開（{{secret.X}} / {{runtime.X}}）屬於 WASM auth primitive 職責" \
      "把這段邏輯改寫到 registry/components/auth_static_key/main.go（TinyGo）"