feat: 重写 ACP 认证流程，支持终端登录和 OAuth Device Flow

[zhang-xzh]

ACP 服务器认证系统完整实现

概述

本 PR 为 Kimi Code CLI 的 ACP 服务器实现了一个完整、健壮的认证系统，支持终端登录和 OAuth Device Flow 两种认证方式。

主要变更

🔐 核心认证架构

组件	说明
_check_auth()	统一的认证状态检查，未认证时抛出 AUTH_REQUIRED
_trigger_login_in_terminal()	通过 ACP 终端协议执行登录命令
_trigger_oauth_device_flow()	OAuth Device Flow 备选方案
_send_auth_progress()	通过 AgentMessageChunk 发送认证进度
authenticate()	统一的认证入口，自动选择最佳认证方式

🖥️ 终端登录流程

客户端调用 authenticate
    ↓
检查客户端终端支持
    ↓
create_terminal → 执行登录命令
    ↓
wait_for_terminal_exit
    ↓
load_tokens 验证 → 发送进度通知

关键特性：

• PyInstaller frozen binary 兼容（自动检测 sys.frozen）
• 使用 shlex.quote 处理含空格路径
• 区分 RequestError 和意外异常
• 资源清理（finally 块释放终端）

📱 OAuth Device Flow 备选

当客户端不支持终端或无活跃 session 时自动回退：

if session_id != "__auth__" and client_capabilities.terminal:
    return await self._trigger_login_in_terminal(session_id)
else:
    return await self._trigger_oauth_device_flow(session_id)

关键特性：

• 使用 login_kimi_code 异步生成器
• 支持非 session 场景（__auth__ 哨兵值）
• 实时进度：verification_url → waiting → success/error

🔄 认证进度通知

通过 ACP 协议发送状态更新：

状态	说明
verification_url	发送验证 URL 给客户端
waiting	等待用户完成认证
completed	认证成功
failed	认证失败
cancelled	用户取消认证

🛡️ 安全性改进

• 认证检查位置优化：resume_session 仅在加载新 session 时检查认证
• 规范化错误格式：_build_auth_methods_data() 确保 AUTH_REQUIRED 错误格式一致
• 异常链清理：CancelledError 转换为协议错误（from None 隐藏内部细节）

代码质量

重构亮点

1. 消除重复代码：提取 _build_auth_methods_data() 方法（原代码重复 3 次）
2. 统一配置保存：set_session_model 使用 reload + 特定字段更新模式
3. Session 状态同步：模型切换后更新 self.sessions[session_id]

文档更新

• AGENTS.md：移除 authenticate 未实现标记，新增 Authentication 章节

测试覆盖

tests/acp/test_server_auth.py
├── TestTriggerLoginInTerminal (3 tests)
├── TestTriggerOAuthDeviceFlow (3 tests)
├── TestAuthenticate (4 tests)
├── TestCancelAuth (1 test)
├── TestSendAuthProgress (2 tests)
└── TestCheckAuth (1 test)

Total: 14 tests passed

破坏性变更

无。完全向后兼容。

修复问题

1. IDE 集成失败：规范化 AUTH_REQUIRED 错误格式
   Failed to initialize ACP session. Error: Internal error: "list.index(x): x not in list" #1355
   Jetbrains IDE kimi不可用 #1334
2. PyInstaller 打包：正确处理 frozen binary 场景
3. Session 恢复安全漏洞：resume_session 仅在加载新 session 时检查认证
4. 模型切换状态不一致：更新 self.sessions 中的模型信息

[devin-ai-integration]

✅ Devin Review: No Issues Found

Devin Review analyzed this PR and found no potential bugs to report.

View in Devin Review to see 1 additional finding.

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

Reviewed commit: a187c9ff61

ℹ️ About Codex in GitHub

Codex has been enabled to automatically review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

When you sign up for Codex through ChatGPT, Codex can also answer questions or update the PR, like "@codex address that feedback".

[chatgpt-codex-connector]

Remove tautological assertion from session-id auth test

assert "specific-session" in server_with_conn._active_auth_sessions or True is always true, so this test never verifies that authenticate(..., session_id="specific-session") actually binds auth state to the caller-provided session. If the implementation regresses to using the wrong session key, this case will still pass and the multi-session bug will go undetected in CI.

Useful? React with 👍 / 👎.