feat: 前置驗證納入 git push 認證檢查

git push 走 askpass + HTTP 認證，與 Gitea REST API 是兩套機制，API token 有效不代表 push 能用（曾出現 askpass 無法執行、could not read Username 而 push 失敗）。新增 git.js verifyRemoteAccess() 以相同 askpass + remote URL 跑唯讀 git ls-remote，preflight 呼叫並在失敗時 exit 1，提前攔下設定問題。新增 git.test.js 對 verifyRemoteAccess 的測試（成功、失敗不丟例外、token 不外洩、askpass 清理）。 Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-06-15 13:39:04 +08:00
parent 00f5bc7dae
commit 40ebfe99a8
6 changed files with 79 additions and 7 deletions
@@ -258,6 +258,24 @@ export function isBotAutoCommit(repoDir, _spawnSync = spawnSync) {
  return getHeadCommitMessage(repoDir, _spawnSync).includes(BOT_COMMIT_MARKER);
 }

+/**
+ * 用與 push 相同的 askpass + remote URL 機制跑一次唯讀的 `git ls-remote`，
+ * 驗證 git 對 remote 的認證與連線是否可用（不會寫入任何東西）。
+ * 這條路徑與 Gitea REST API 不同，API token 有效不代表 git push 認證一定可用，
+ * 所以放在前置驗證可以提前抓出 askpass 無法執行或 HTTP 認證失敗的問題。
+ */
+export function verifyRemoteAccess(workspace, _spawnSync = spawnSync) {
+  const run = makeRunner(_spawnSync);
+  try {
+    return withAskpass(workspace, credEnv => {
+      run(['ls-remote', remoteUrl, PR_HEAD_BRANCH || 'HEAD'], workspace, credEnv);
+      return { ok: true };
+    });
+  } catch (e) {
+    return { ok: false, error: e.message };
+  }
+}
+
 /**
 * Clone PR head branch to workspace/repo (idempotent)
 */