agent-auth-cli

Usa la CLI de autenticación de agente (auth-agent) para descubrir proveedores, conectar agentes, gestionar capacidades y ejecutar operaciones. Úsala cuando el usuario quiera interactuar…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-cli

Agent Auth CLI

You have access to the auth-agent CLI for interacting with Agent Auth providers. Always prefer using the CLI for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Binary

The CLI binary is auth-agent (package: @auth/agent-cli). If not installed globally, run via npx @auth/agent-cli.

Workflow

Follow this order when working with a provider:

1. Discover or find a provider

# If you have the provider URL
auth-agent discover https://api.example.com

# If you need to search by intent
auth-agent search "deploy web apps"

# List already-known providers
auth-agent providers
  • discover fetches the /.well-known/agent-configuration document and caches the provider.
  • search queries the directory and returns matching providers.
  • Always discover or search first before connecting.

2. Explore capabilities

# List all capabilities for a provider
auth-agent capabilities --provider https://api.example.com

# Filter by query
auth-agent capabilities --provider https://api.example.com --query "transfer"

# Get full definition with input schema
auth-agent describe transfer_money --provider https://api.example.com
  • Always run describe before executing a capability to understand the required input schema and constraints.
  • If connected, pass --agent-id <id> to see which capabilities are granted.

3. Connect an agent

# Basic connection with specific capabilities
auth-agent connect --provider https://api.example.com \
  --capabilities read_data transfer_money \
  --name my-agent

# With constraints on capability arguments
auth-agent connect --provider https://api.example.com \
  --capabilities read_data transfer_money \
  --constraints '{"transfer_money":{"amount":{"max":1000}}}' \
  --name constrained-agent

# Autonomous mode (no user association)
auth-agent connect --provider https://api.example.com \
  --capabilities read_data \
  --mode autonomous

# With CIBA approval (backchannel, sends notification to user)
auth-agent connect --provider https://api.example.com \
  --capabilities read_data \
  --preferred-method ciba \
  --login-hint [email protected]
  • Save the returned agent_id — you need it for all subsequent operations.
  • If approval is required, the CLI opens the browser or prints the approval URL. Pass --no-browser to suppress browser opening.
  • Use --force-new to create a new connection even if one exists.

4. Check status

auth-agent status <agent-id>
  • Shows agent status (pending_approval, active, expired, revoked), granted capabilities, and constraints.
  • Run this after connecting to confirm the agent was approved.

5. Execute capabilities

auth-agent execute <agent-id> transfer_money \
  --args '{"amount": 50, "to": "alice"}'
  • The --args flag takes a JSON string matching the capability's input schema.
  • Always describe the capability first to know the required arguments.

6. Request additional capabilities

auth-agent request <agent-id> \
  --capabilities admin_panel \
  --constraints '{"admin_panel":{"scope":{"in":["read","write"]}}}' \
  --reason "Need admin access for deployment"

7. Lifecycle management

# Disconnect (revoke) an agent
auth-agent disconnect <agent-id>

# Reactivate an expired agent
auth-agent reactivate <agent-id>

# View stored connection details
auth-agent connection <agent-id>

# List all connections for a provider
auth-agent connections <issuer-url>

8. Key rotation

# Rotate an agent's keypair
auth-agent rotate-agent-key <agent-id>

# Rotate the host keypair for a provider
auth-agent rotate-host-key <issuer-url>

9. Host enrollment

auth-agent enroll-host --provider https://api.example.com --token <enrollment-token> --name "My Device"

10. Sign JWTs manually

# Sign an agent JWT (for use with external HTTP calls)
auth-agent sign <agent-id>

# Scope to specific capabilities
auth-agent sign <agent-id> --capabilities transfer_money read_data

Global Flags

FlagEnv varDescription
--storage-dir <path>AGENT_AUTH_STORAGE_DIRStorage directory (default: ~/.agent-auth)
--directory-url <url>AGENT_AUTH_DIRECTORY_URLDirectory URL for provider search
--host-name <name>AGENT_AUTH_HOST_NAMEHost name for identification
--no-browserAGENT_AUTH_NO_BROWSER=1Suppress browser opening for approval URLs
--url <urls...>AGENT_AUTH_URLSProvider URLs to auto-discover at startup

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use the CLI.
  • Always discover before connecting. The CLI needs the provider's configuration cached locally.
  • Always describe before executing. Check the input schema so you pass correct arguments.
  • Check status after connecting. The agent may require user approval before it becomes active.
  • Store agent IDs. You need them for execute, status, request, disconnect, and all other operations.
  • Use constraints when connecting to limit what the agent can do — this is a security best practice.
  • Set AGENT_AUTH_ENCRYPTION_KEY in production to encrypt private keys stored in ~/.agent-auth/.

Storage

Connections, keys, and provider configs are stored in ~/.agent-auth/ by default:

  • host.json — host identity and keypair
  • agents/<agent-id>.json — agent connections
  • providers/<encoded-issuer>.json — cached provider configurations

Más skills de better-auth

agent-auth-mcp
better-auth
Usa las herramientas de Agent Auth MCP para descubrir proveedores, conectar agentes, gestionar capacidades y ejecutar operaciones a través del protocolo MCP. Úsalo al trabajar…
official
better-icons
better-auth
Busca y recupera SVGs de más de 200 bibliotecas de iconos con integración de CLI y servidor MCP. Soporta búsqueda en colecciones principales (Lucide, Material Design Icons, Heroicons, Tabler y más de 200) con filtrado por prefijo y límite de resultados. Comandos CLI para buscar iconos, descargar lotes como archivos SVG y recuperar iconos individuales con personalización de color y tamaño. Herramientas de servidor MCP para agentes de IA, incluyendo recomendaciones inteligentes, coincidencia de similitud, escaneo de proyectos y lotes de iconos...
official
better-auth-best-practices
better-auth
Configuración completa del servidor y cliente de Better Auth con adaptadores de base de datos, gestión de sesiones, plugins y configuración de seguridad. Cubre el flujo de trabajo completo desde la instalación hasta la migración de la base de datos, configuración de variables de entorno y creación de manejadores de rutas en múltiples frameworks. Soporta múltiples adaptadores de base de datos (Prisma, Drizzle, MongoDB, conexiones directas) con orientación crítica sobre convenciones de nombres de modelos vs. tablas. Incluye estrategias de almacenamiento de sesiones con almacenamiento secundario (Redis/KV), cookies...
official
create-auth-skill
better-auth
Andamia e implementa autenticación en aplicaciones TypeScript/JavaScript con detección del framework Better Auth, configuración del adaptador de base de datos e integración OAuth. Detecta frameworks (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), bases de datos (Prisma, Drizzle, MongoDB, drivers nativos) y bibliotecas de autenticación existentes mediante escaneo del proyecto. Soporta correo electrónico/contraseña, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), enlaces mágicos, passkeys y autenticación telefónica con verificación de correo configurable...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — una habilidad instalable para agentes de IA, publicada por better-auth/skills.
official
email-and-password-best-practices
better-auth
Verificación de correo electrónico, flujos de restablecimiento de contraseña y políticas de contraseña personalizables para Better Auth. Soporta verificación de correo electrónico con aplicación opcional para bloquear el inicio de sesión hasta que se verifique, además de caducidad de token configurable y tokens de restablecimiento de un solo uso. Flujos de restablecimiento de contraseña con seguridad integrada: envío de correo electrónico en segundo plano, prevención de ataques de sincronización, operaciones ficticias en solicitudes no válidas y revocación opcional de sesión al restablecer. Límites de longitud de contraseña configurables (predeterminado de 8 a 256 caracteres) y personalizados...
official
organization-best-practices
better-auth
Configuración de organización multiinquilino con gestión de miembros, control de acceso basado en roles y soporte de equipos a través de Better Auth. Configure organizaciones con reglas de creación personalizables, límites de membresía y restricciones de propiedad; los creadores reciben automáticamente el rol de propietario. Gestione miembros e invitaciones con entrega por correo electrónico, ventanas de expiración y URL de invitación compartibles; soporte para múltiples roles por miembro. Defina roles y permisos personalizados con control de acceso dinámico; verifique permisos...
official
two-factor-authentication-best-practices
better-auth
Autenticación multifactor con TOTP, OTP, códigos de respaldo y gestión de dispositivos confiables para Better Auth. Soporta tres métodos de verificación: aplicaciones de autenticación (TOTP con códigos QR), códigos por correo electrónico/SMS (OTP) y códigos de respaldo de un solo uso. Maneja flujos completos de inicio de sesión con 2FA, incluyendo gestión automática de sesiones, cookies temporales de 2FA y seguimiento de dispositivos confiables con caducidad configurable. Funciones de seguridad integradas que incluyen limitación de velocidad (3 solicitudes por cada 10 segundos) y cifrado en reposo para secretos...
official