agent-auth-cli
作成者: better-auth
Agent Auth CLI(auth-agent)を使用して、プロバイダーの検出、エージェントの接続、機能の管理、操作の実行を行います。ユーザーが操作を希望する場合に使用します…
npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-cliAgent Auth CLI
You have access to the auth-agent CLI for interacting with Agent Auth providers. Always prefer using the CLI for any agent authentication operations rather than making raw HTTP requests or writing custom code.
Binary
The CLI binary is auth-agent (package: @auth/agent-cli). If not installed globally, run via npx @auth/agent-cli.
Workflow
Follow this order when working with a provider:
1. Discover or find a provider
# If you have the provider URL
auth-agent discover https://api.example.com
# If you need to search by intent
auth-agent search "deploy web apps"
# List already-known providers
auth-agent providers
discoverfetches the/.well-known/agent-configurationdocument and caches the provider.searchqueries the directory and returns matching providers.- Always discover or search first before connecting.
2. Explore capabilities
# List all capabilities for a provider
auth-agent capabilities --provider https://api.example.com
# Filter by query
auth-agent capabilities --provider https://api.example.com --query "transfer"
# Get full definition with input schema
auth-agent describe transfer_money --provider https://api.example.com
- Always run
describebefore executing a capability to understand the required input schema and constraints. - If connected, pass
--agent-id <id>to see which capabilities are granted.
3. Connect an agent
# Basic connection with specific capabilities
auth-agent connect --provider https://api.example.com \
--capabilities read_data transfer_money \
--name my-agent
# With constraints on capability arguments
auth-agent connect --provider https://api.example.com \
--capabilities read_data transfer_money \
--constraints '{"transfer_money":{"amount":{"max":1000}}}' \
--name constrained-agent
# Autonomous mode (no user association)
auth-agent connect --provider https://api.example.com \
--capabilities read_data \
--mode autonomous
# With CIBA approval (backchannel, sends notification to user)
auth-agent connect --provider https://api.example.com \
--capabilities read_data \
--preferred-method ciba \
--login-hint [email protected]
- Save the returned
agent_id— you need it for all subsequent operations. - If approval is required, the CLI opens the browser or prints the approval URL. Pass
--no-browserto suppress browser opening. - Use
--force-newto create a new connection even if one exists.
4. Check status
auth-agent status <agent-id>
- Shows agent status (
pending_approval,active,expired,revoked), granted capabilities, and constraints. - Run this after connecting to confirm the agent was approved.
5. Execute capabilities
auth-agent execute <agent-id> transfer_money \
--args '{"amount": 50, "to": "alice"}'
- The
--argsflag takes a JSON string matching the capability's input schema. - Always
describethe capability first to know the required arguments.
6. Request additional capabilities
auth-agent request <agent-id> \
--capabilities admin_panel \
--constraints '{"admin_panel":{"scope":{"in":["read","write"]}}}' \
--reason "Need admin access for deployment"
7. Lifecycle management
# Disconnect (revoke) an agent
auth-agent disconnect <agent-id>
# Reactivate an expired agent
auth-agent reactivate <agent-id>
# View stored connection details
auth-agent connection <agent-id>
# List all connections for a provider
auth-agent connections <issuer-url>
8. Key rotation
# Rotate an agent's keypair
auth-agent rotate-agent-key <agent-id>
# Rotate the host keypair for a provider
auth-agent rotate-host-key <issuer-url>
9. Host enrollment
auth-agent enroll-host --provider https://api.example.com --token <enrollment-token> --name "My Device"
10. Sign JWTs manually
# Sign an agent JWT (for use with external HTTP calls)
auth-agent sign <agent-id>
# Scope to specific capabilities
auth-agent sign <agent-id> --capabilities transfer_money read_data
Global Flags
| Flag | Env var | Description |
|---|---|---|
--storage-dir <path> | AGENT_AUTH_STORAGE_DIR | Storage directory (default: ~/.agent-auth) |
--directory-url <url> | AGENT_AUTH_DIRECTORY_URL | Directory URL for provider search |
--host-name <name> | AGENT_AUTH_HOST_NAME | Host name for identification |
--no-browser | AGENT_AUTH_NO_BROWSER=1 | Suppress browser opening for approval URLs |
--url <urls...> | AGENT_AUTH_URLS | Provider URLs to auto-discover at startup |
Important Rules
- Never make raw HTTP requests to Agent Auth endpoints. Always use the CLI.
- Always discover before connecting. The CLI needs the provider's configuration cached locally.
- Always describe before executing. Check the input schema so you pass correct arguments.
- Check status after connecting. The agent may require user approval before it becomes active.
- Store agent IDs. You need them for execute, status, request, disconnect, and all other operations.
- Use constraints when connecting to limit what the agent can do — this is a security best practice.
- Set
AGENT_AUTH_ENCRYPTION_KEYin production to encrypt private keys stored in~/.agent-auth/.
Storage
Connections, keys, and provider configs are stored in ~/.agent-auth/ by default:
host.json— host identity and keypairagents/<agent-id>.json— agent connectionsproviders/<encoded-issuer>.json— cached provider configurations
better-authのその他のスキル
agent-auth-mcp
better-auth
Agent Auth MCPツールを使用して、プロバイダーの検出、エージェントの接続、機能の管理、MCPプロトコルを介した操作の実行を行います。作業時に使用…
official
better-icons
better-auth
200以上のアイコンライブラリからSVGを検索・取得可能。CLIとMCPサーバー統合に対応。Lucide、Material Design Icons、Heroicons、Tablerなど主要コレクションを横断検索し、プレフィックスや結果数のフィルタリングが可能。CLIコマンドでアイコン検索、バッチダウンロード(SVGファイル)、個別アイコンの色・サイズカスタマイズに対応。MCPサーバーツールはAIエージェント向けで、スマートレコメンド、類似マッチング、プロジェクトスキャン、バッチアイコン…
official
better-auth-best-practices
better-auth
Better Authのサーバーおよびクライアントの完全なセットアップ。データベースアダプター、セッション管理、プラグイン、セキュリティ設定を含む。インストールからデータベースマイグレーション、環境変数の設定、複数フレームワークにわたるルートハンドラの作成までの全ワークフローをカバー。複数のデータベースアダプター(Prisma、Drizzle、MongoDB、直接接続)に対応し、モデルとテーブルの命名規則に関する重要なガイダンスを提供。セカンダリストレージ(Redis/KV)を用いたセッションストレージ戦略、クッキー...を含む。
official
create-auth-skill
better-auth
TypeScript/JavaScriptアプリに認証をスキャフォールディング・実装し、Better Authフレームワークの検出、データベースアダプターのセットアップ、OAuth統合を行います。プロジェクトスキャンによりフレームワーク(Next.js、SvelteKit、Nuxt、Astro、Express、Hono)、データベース(Prisma、Drizzle、MongoDB、rawドライバー)、既存の認証ライブラリを検出。メール/パスワード、OAuth(Google、GitHub、Apple、Microsoft、Discord、Twitter)、マジックリンク、パスキー、電話認証に対応し、設定可能なメール検証機能を備えています...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — AIエージェント用のインストール可能なスキルで、better-auth/skillsによって公開されています。
official
email-and-password-best-practices
better-auth
メール確認、パスワードリセットフロー、Better Auth向けのカスタマイズ可能なパスワードポリシー。確認が完了するまでサインインをブロックするオプションの強制機能付きメール確認、設定可能なトークン有効期限と使い捨てリセットトークンをサポート。組み込みのセキュリティを備えたパスワードリセットフロー:バックグラウンドでのメール送信、タイミング攻撃対策、無効なリクエストに対するダミー操作、リセット時のオプションのセッション無効化。設定可能なパスワード長制限(デフォルト8~256文字)およびカスタム...
official
organization-best-practices
better-auth
Better Authを利用したマルチテナント組織のセットアップ。メンバー管理、ロールベースのアクセス制御、チームサポートを提供。カスタマイズ可能な作成ルール、メンバー制限、所有権制約で組織を設定可能。作成者は自動的にオーナーロールを取得。メール配信、有効期限、共有可能な招待URLによるメンバーと招待の管理。メンバーごとに複数ロールをサポート。動的アクセス制御によるカスタムロールと権限の定義。権限の確認...
official
two-factor-authentication-best-practices
better-auth
Better Auth向けのTOTP、OTP、バックアップコード、信頼できるデバイス管理を用いた多要素認証。認証アプリ(QRコードによるTOTP)、メール/SMSコード(OTP)、使い捨てバックアップコードの3つの検証方法をサポート。自動セッション管理、一時的な2FAクッキー、設定可能な有効期限付きの信頼できるデバイス追跡を含む完全な2FAサインインフローを処理。レート制限(10秒あたり3リクエスト)、保存時のシークレットの暗号化などのセキュリティ機能を内蔵...
official