agent-auth-cli

Utilisez l'Agent Auth CLI (auth-agent) pour découvrir des fournisseurs, connecter des agents, gérer des capacités et exécuter des opérations. Utilisez lorsque l'utilisateur souhaite interagir…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-cli

Agent Auth CLI

You have access to the auth-agent CLI for interacting with Agent Auth providers. Always prefer using the CLI for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Binary

The CLI binary is auth-agent (package: @auth/agent-cli). If not installed globally, run via npx @auth/agent-cli.

Workflow

Follow this order when working with a provider:

1. Discover or find a provider

# If you have the provider URL
auth-agent discover https://api.example.com

# If you need to search by intent
auth-agent search "deploy web apps"

# List already-known providers
auth-agent providers
  • discover fetches the /.well-known/agent-configuration document and caches the provider.
  • search queries the directory and returns matching providers.
  • Always discover or search first before connecting.

2. Explore capabilities

# List all capabilities for a provider
auth-agent capabilities --provider https://api.example.com

# Filter by query
auth-agent capabilities --provider https://api.example.com --query "transfer"

# Get full definition with input schema
auth-agent describe transfer_money --provider https://api.example.com
  • Always run describe before executing a capability to understand the required input schema and constraints.
  • If connected, pass --agent-id <id> to see which capabilities are granted.

3. Connect an agent

# Basic connection with specific capabilities
auth-agent connect --provider https://api.example.com \
  --capabilities read_data transfer_money \
  --name my-agent

# With constraints on capability arguments
auth-agent connect --provider https://api.example.com \
  --capabilities read_data transfer_money \
  --constraints '{"transfer_money":{"amount":{"max":1000}}}' \
  --name constrained-agent

# Autonomous mode (no user association)
auth-agent connect --provider https://api.example.com \
  --capabilities read_data \
  --mode autonomous

# With CIBA approval (backchannel, sends notification to user)
auth-agent connect --provider https://api.example.com \
  --capabilities read_data \
  --preferred-method ciba \
  --login-hint [email protected]
  • Save the returned agent_id — you need it for all subsequent operations.
  • If approval is required, the CLI opens the browser or prints the approval URL. Pass --no-browser to suppress browser opening.
  • Use --force-new to create a new connection even if one exists.

4. Check status

auth-agent status <agent-id>
  • Shows agent status (pending_approval, active, expired, revoked), granted capabilities, and constraints.
  • Run this after connecting to confirm the agent was approved.

5. Execute capabilities

auth-agent execute <agent-id> transfer_money \
  --args '{"amount": 50, "to": "alice"}'
  • The --args flag takes a JSON string matching the capability's input schema.
  • Always describe the capability first to know the required arguments.

6. Request additional capabilities

auth-agent request <agent-id> \
  --capabilities admin_panel \
  --constraints '{"admin_panel":{"scope":{"in":["read","write"]}}}' \
  --reason "Need admin access for deployment"

7. Lifecycle management

# Disconnect (revoke) an agent
auth-agent disconnect <agent-id>

# Reactivate an expired agent
auth-agent reactivate <agent-id>

# View stored connection details
auth-agent connection <agent-id>

# List all connections for a provider
auth-agent connections <issuer-url>

8. Key rotation

# Rotate an agent's keypair
auth-agent rotate-agent-key <agent-id>

# Rotate the host keypair for a provider
auth-agent rotate-host-key <issuer-url>

9. Host enrollment

auth-agent enroll-host --provider https://api.example.com --token <enrollment-token> --name "My Device"

10. Sign JWTs manually

# Sign an agent JWT (for use with external HTTP calls)
auth-agent sign <agent-id>

# Scope to specific capabilities
auth-agent sign <agent-id> --capabilities transfer_money read_data

Global Flags

FlagEnv varDescription
--storage-dir <path>AGENT_AUTH_STORAGE_DIRStorage directory (default: ~/.agent-auth)
--directory-url <url>AGENT_AUTH_DIRECTORY_URLDirectory URL for provider search
--host-name <name>AGENT_AUTH_HOST_NAMEHost name for identification
--no-browserAGENT_AUTH_NO_BROWSER=1Suppress browser opening for approval URLs
--url <urls...>AGENT_AUTH_URLSProvider URLs to auto-discover at startup

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use the CLI.
  • Always discover before connecting. The CLI needs the provider's configuration cached locally.
  • Always describe before executing. Check the input schema so you pass correct arguments.
  • Check status after connecting. The agent may require user approval before it becomes active.
  • Store agent IDs. You need them for execute, status, request, disconnect, and all other operations.
  • Use constraints when connecting to limit what the agent can do — this is a security best practice.
  • Set AGENT_AUTH_ENCRYPTION_KEY in production to encrypt private keys stored in ~/.agent-auth/.

Storage

Connections, keys, and provider configs are stored in ~/.agent-auth/ by default:

  • host.json — host identity and keypair
  • agents/<agent-id>.json — agent connections
  • providers/<encoded-issuer>.json — cached provider configurations

Plus de skills de better-auth

agent-auth-mcp
better-auth
Utilisez les outils Agent Auth MCP pour découvrir des fournisseurs, connecter des agents, gérer les capacités et exécuter des opérations via le protocole MCP. Utilisez lorsque vous travaillez…
official
better-icons
better-auth
Recherche et récupération de SVGs à partir de plus de 200 bibliothèques d'icônes avec intégration CLI et serveur MCP. Prend en charge la recherche dans les principales collections (Lucide, Material Design Icons, Heroicons, Tabler et plus de 200 autres) avec filtrage par préfixe et limites de résultats. Commandes CLI pour rechercher des icônes, télécharger des lots sous forme de fichiers SVG et récupérer des icônes individuelles avec personnalisation de la couleur et de la taille. Outils serveur MCP pour agents IA incluant des recommandations intelligentes, la correspondance de similarité, l'analyse de projet et le traitement par lots d'icônes...
official
better-auth-best-practices
better-auth
Configuration complète du serveur et client Better Auth avec adaptateurs de base de données, gestion des sessions, plugins et configuration de sécurité. Couvre l'ensemble du workflow, de l'installation à la migration de base de données, en passant par la configuration des variables d'environnement et la création de gestionnaires de routes pour plusieurs frameworks. Prend en charge plusieurs adaptateurs de base de données (Prisma, Drizzle, MongoDB, connexions directes) avec des conseils essentiels sur les conventions de nommage modèle/table. Inclut des stratégies de stockage des sessions avec stockage secondaire (Redis/KV), cookies...
official
create-auth-skill
better-auth
Générer et implémenter l'authentification dans des applications TypeScript/JavaScript avec détection du framework Better Auth, configuration de l'adaptateur de base de données et intégration OAuth. Détecte les frameworks (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), les bases de données (Prisma, Drizzle, MongoDB, pilotes natifs) et les bibliothèques d'authentification existantes via l'analyse du projet. Prend en charge l'authentification par email/mot de passe, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), les liens magiques, les clés d'accès et l'authentification par téléphone avec vérification configurable de l'email...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — une compétence installable pour les agents IA, publiée par better-auth/skills.
official
email-and-password-best-practices
better-auth
Vérification des e-mails, flux de réinitialisation de mot de passe et politiques de mots de passe personnalisables pour Better Auth. Prend en charge la vérification des e-mails avec application facultative pour bloquer la connexion jusqu'à vérification, ainsi que l'expiration configurable des jetons et des jetons de réinitialisation à usage unique. Flux de réinitialisation de mot de passe avec sécurité intégrée : envoi d'e-mails en arrière-plan, prévention des attaques temporelles, opérations factices sur les requêtes invalides et révocation facultative de session lors de la réinitialisation. Limites de longueur de mot de passe configurables (par défaut 8 à 256 caractères) et personnalisation...
official
organization-best-practices
better-auth
Configuration d'organisation multi-locataire avec gestion des membres, contrôle d'accès basé sur les rôles et support d'équipe via Better Auth. Configurez des organisations avec des règles de création personnalisables, des limites de membres et des contraintes de propriété ; les créateurs reçoivent automatiquement le rôle de propriétaire. Gérez les membres et les invitations avec livraison par e-mail, fenêtres d'expiration et URL d'invitation partageables ; prenez en charge plusieurs rôles par membre. Définissez des rôles et des permissions personnalisés avec contrôle d'accès dynamique ; vérifiez les permissions...
official
two-factor-authentication-best-practices
better-auth
Authentification multi-facteur avec TOTP, OTP, codes de secours et gestion des appareils de confiance pour Better Auth. Prend en charge trois méthodes de vérification : applications d'authentification (TOTP avec codes QR), codes email/SMS (OTP) et codes de secours à usage unique. Gère les flux complets de connexion 2FA avec gestion automatique des sessions, cookies 2FA temporaires et suivi des appareils de confiance avec expiration configurable. Fonctionnalités de sécurité intégrées incluant la limitation de débit (3 requêtes par 10 secondes), le chiffrement au repos des secrets...
official