mirror of
https://github.com/NanmiCoder/cc-haha
synced 2026-07-16 13:03:31 +08:00
This release packages the emergency H5 token pause so upgraded users can resume desktop and browser chat without generating or carrying a token. The release notes document the temporary open-access behavior and the verification run used before tagging. Constraint: v0.2.4 restored startup but token auth can still break chat flows for upgraded users Rejected: Wait for a full token-auth redesign | users are actively blocked and H5 auth is not critical right now Confidence: high Scope-risk: narrow Directive: Restore H5 token controls only with migration coverage and browser chat E2E Tested: bun run scripts/release.ts 0.2.5 --dry Tested: bun run scripts/release.ts 0.2.5 Tested: bun test src/server/__tests__/h5-access-auth.test.ts src/server/middleware/cors.test.ts Tested: bun run check:server Tested: bun run check:desktop
1.3 KiB
1.3 KiB
Claude Code Haha v0.2.5
这是一个紧急修复版本,用于临时放行 H5 访问,避免 token 鉴权继续影响聊天使用。
Highlight
- 临时关闭 H5 token 鉴权:H5/LAN 访问默认不再要求
Authorizationheader,避免升级后因 token 状态不一致导致聊天或启动失败。
问题修复
- 服务端不再因为绑定
0.0.0.0自动开启鉴权;只有显式传入--auth-required或SERVER_AUTH_REQUIRED=1时才要求鉴权。 - 浏览器 H5 启动不再主动读取或校验 H5 token,远程 URL 也会按开放访问路径连接。
- 设置页先隐藏 H5 启用开关、token 预览/重新生成、允许来源配置,只保留公开 URL 配置和复制入口。
- CORS 在 H5 token 鉴权暂停期间放行浏览器来源,避免跨来源请求继续卡在预检阶段。
验证
- 已新增和更新服务端回归测试,覆盖 REST、WebSocket、CORS 默认无 token 可访问,以及显式鉴权 opt-in 仍然有效。
- 已更新桌面 H5 启动和设置页测试,覆盖远程 H5 URL 不再要求 token,以及设置页不再展示 token 控件。
- 已通过
bun run check:server和bun run check:desktop。
安装说明
macOS
首次打开如果提示"已损坏"或"无法验证开发者",请执行:
xattr -cr /Applications/Claude\ Code\ Haha.app