更新 'SKILL.md'

SKILL.md

@@ -20,19 +20,17 @@ description: 提供 Educoder 用户与课堂相关查询能力，当前支持用
 
 ## 前置配置
 
-接入 OpenClaw 时，需要让用户提供 `Authorization`，并在 MCP 客户端建立连接时放到请求头里。
+接入 OpenClaw 时，多个会话使用同一个 `Authorization` token。调用端每次建立 MCP 连接时，都从环境变量 `EDUCODER_AUTHORIZATION` 读取 token，并放到请求头里。
 
-### 单用户本地调试
+### Authorization 配置
 
-本地单用户调试时，可以临时使用环境变量保存：
+在运行 OpenClaw 或 MCP 客户端的进程环境中配置：
 
 ```bash
 export EDUCODER_AUTHORIZATION="xxxxx"
 ```
 
-> 这种方式只适合本地单用户调试，不适合多用户线上场景。
-
-MCP 客户端连接时应注入：
+MCP 客户端每次连接时应读取环境变量并注入：
 
 ```python
 headers = {
@@ -49,59 +47,63 @@ async with streamable_http_client(self.server_url, headers=headers or None) as (
 
 > `Authorization` 走 MCP 连接层请求头，不放在工具参数里。
 
-### 多用户隔离
+### 多会话共享 Token
 
-多用户场景下，不要把 `Authorization` 放在服务进程级环境变量里，否则所有用户会共用同一份认证信息。
+多个会话共用同一个 `EDUCODER_AUTHORIZATION`。不要让用户在每个会话里单独输入 token，也不要把 token 放到工具参数里。
 
 正确做法是：
 
-1. 让每个用户单独输入自己的 `Authorization`
-2. 调用端把这个值绑定到当前用户会话
-3. 创建当前用户专属的 MCPClient 实例
-4. 在 MCP 建连时，把当前用户自己的 `Authorization` 放到请求头里
+1. 在 OpenClaw 运行环境中配置 `EDUCODER_AUTHORIZATION`
+2. 每次创建 MCPClient 或建立 MCP 连接时，从 `os.getenv("EDUCODER_AUTHORIZATION")` 读取最新值
+3. 把读取到的值放进 MCP transport headers 的 `Authorization`
+4. 多个会话可以分别创建 MCPClient 实例，但认证 token 都来自同一个环境变量
 
-示例：
+### 401 Token 过期处理
 
-```python
-client = MCPClient(
-    server_url=tool_server_url,
-    authorization=current_user_authorization,
-)
-```
+如果调用 MCP 工具或后端接口时返回 `401 Unauthorized`，说明当前 `EDUCODER_AUTHORIZATION` 已过期或无效。
 
-然后在建连时动态透传：
+处理流程：
 
-```python
-headers = {}
-if self.authorization:
-    headers["Authorization"] = self.authorization
+1. 停止继续使用当前 token 重试
+2. 提示用户重新输入新的 `Authorization`
+3. 将用户输入的新 token 更新到环境变量 `EDUCODER_AUTHORIZATION`
+4. 重新创建 MCP 连接，并从环境变量读取最新 token
+5. 使用新 token 重新发起本次工具调用
 
-async with streamable_http_client(self.server_url, headers=headers or None) as (read, write, _):
-    yield read, write
+示例提示：
+
+```text
+当前 Educoder 授权已过期，请重新输入 Authorization token。
+```
+
+更新环境变量示例：
+
+```bash
+export EDUCODER_AUTHORIZATION="new-token"
 ```
 
-> 核心原则：`Authorization` 必须按用户动态传递，不能做成所有人共享的全局配置。
+> 更新 token 后必须重新建立 MCP 连接，不能复用已经携带旧 headers 的连接。
 
 ### OpenClaw 接入建议
 
 如果使用 OpenClaw，推荐按下面的方式接入：
 
 1. 安装 skill 时，MCP 服务地址填写：`http://47.98.32.66:48000/mcp`
-2. 用户在界面上输入自己的 `Authorization`
-3. OpenClaw 后端把该值保存到当前用户自己的会话上下文
-4. 当前用户发起工具调用时，后端读取这个用户自己的 `Authorization`
-5. 用这个值创建当前用户专属的 MCPClient
-6. MCPClient 建连时把 `Authorization` 放进 MCP headers
+2. 在 OpenClaw 运行环境中配置 `EDUCODER_AUTHORIZATION`
+3. 当前用户发起工具调用时，后端创建 MCPClient
+4. MCPClient 建连时从环境变量读取 `EDUCODER_AUTHORIZATION`
+5. MCPClient 把读取到的值放进 MCP headers
+6. 如果调用返回 `401 Unauthorized`，提示用户重新输入 token，更新 `EDUCODER_AUTHORIZATION` 后重新建连并重试
 
 参考流程：
 
 ```python
+import os
+
 tool_server_url = "http://47.98.32.66:48000/mcp"
-current_user_authorization = session_store.get(current_user_id, "educoder_authorization")
 
 client = MCPClient(
     server_url=tool_server_url,
-    authorization=current_user_authorization,
 )
 
 tool_result = await client.call_tool(tool_name, tool_arguments)
@@ -111,22 +113,22 @@ MCPClient 示例：
 
 ```python
 class MCPClient:
-    def __init__(self, server_url: str, authorization: str | None = None):
+    def __init__(self, server_url: str):
         self.server_url = server_url
-        self.authorization = authorization
 
     def _build_headers(self) -> dict[str, str]:
         headers = {}
-        if self.authorization:
-            headers["Authorization"] = self.authorization
+        authorization = os.getenv("EDUCODER_AUTHORIZATION", "").strip()
+        if authorization:
+            headers["Authorization"] = authorization
         return headers
 ```
 
 不推荐的做法：
 
-- 把 `Authorization` 写进服务端 `.env`
-- 把 `Authorization` 写成所有用户共享的全局变量
-- 让多个用户复用同一个 MCPClient 实例
+- 让用户在每个会话里重复输入 `Authorization`
+- 把 `Authorization` 放到工具参数里
+- 在进程启动后只读取一次 token，导致环境变量更新后无法生效
 
 ## 触发场景
 
@@ -174,7 +176,7 @@ class MCPClient:
 - 参数名必须严格匹配工具定义
 - 当前查询逻辑还是占位实现，后续会接外部 HTTP 接口
 - `course_id` 和 `exercise_id` 当前按字符串传入
-- 客户端连接 MCP 服务时，请在 transport headers 中传 `Authorization`
+- 客户端每次连接 MCP 服务时，请从环境变量 `EDUCODER_AUTHORIZATION` 读取 token，并在 transport headers 中传 `Authorization`
 
 ---
 
@@ -285,13 +287,19 @@ class MCPClient:
 ## 客户端调用示例
 
 ```python
+import os
+
 import httpx
 from mcp import ClientSession
 from mcp.client.streamable_http import streamable_http_client
 
 
 async def main():
-    async with httpx.AsyncClient(headers={"Authorization": "demo-token"}) as http_client:
+    headers = {
+        "Authorization": os.getenv("EDUCODER_AUTHORIZATION", "").strip()
+    }
+
+    async with httpx.AsyncClient(headers=headers) as http_client:
         async with streamable_http_client("http://47.98.32.66:48000/mcp", http_client=http_client) as (read, write, _):
             async with ClientSession(read, write) as session:
                 await session.initialize()
@@ -307,6 +315,7 @@ async def main():
 
 - 当前服务使用 `streamable-http`，不是 SSE
 - 如果客户端使用了 `sse_client`，将无法正常调用当前服务
-- `Authorization` 应通过 MCP 连接层 headers 传入，不放在工具参数里
+- `Authorization` 应从环境变量 `EDUCODER_AUTHORIZATION` 读取，通过 MCP 连接层 headers 传入，不放在工具参数里
+- 调用接口返回 `401 Unauthorized` 时，视为 token 过期或无效，应要求用户重新输入 token，并更新到环境变量 `EDUCODER_AUTHORIZATION`
 - 当前工具返回空 `data` 数组属于预期行为，因为外部接口尚未接入
 - 后续新增或调整工具时，需要同步更新本文件