fix: address review findings from v1.10.0 changes

- fix(auth): pass --scopes to Device Flow (was silently ignored)
- fix(auth): validate verification_uri in device authorization response
- fix(im): add file size pre-check (30MB file / 10MB image) and use
  5-minute timeout instead of 30s default for IM uploads
- fix(msg): output upload progress to stderr to avoid polluting
  --output json; wrap os.Stat errors with original error
- fix(export): unify file permission to 0600 (was 0644 in doc export)
- docs(skills): update feishu-cli-auth, msg, export, perm, toolkit
  skills to reflect new features and fixes

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

Author: riba2534

cmd/auth_login.go

@@ -62,7 +62,7 @@ Authorization Code Flow 前置条件:
 
 		switch method {
 		case "device":
-			return runDeviceFlow(cfg.AppID, cfg.AppSecret, cfg.BaseURL)
+			return runDeviceFlow(cfg.AppID, cfg.AppSecret, cfg.BaseURL, scopes)
 		case "code", "":
 			// Authorization Code Flow，继续往下
 		default:
@@ -104,8 +104,8 @@ Authorization Code Flow 前置条件:
 }
 
 // runDeviceFlow 执行 Device Flow 授权（RFC 8628）
-func runDeviceFlow(appID, appSecret, baseURL string) error {
-	deviceResp, err := auth.RequestDeviceAuthorization(appID, appSecret, baseURL, "")
+func runDeviceFlow(appID, appSecret, baseURL, scope string) error {
+	deviceResp, err := auth.RequestDeviceAuthorization(appID, appSecret, baseURL, scope)
 	if err != nil {
 		return err
 	}

cmd/export_markdown.go

@@ -95,7 +95,7 @@ var exportMarkdownCmd = &cobra.Command{
 
 		// Output
 		if output != "" {
-			if err := os.WriteFile(output, []byte(markdown), 0644); err != nil {
+			if err := os.WriteFile(output, []byte(markdown), 0600); err != nil {
 				return fmt.Errorf("写入输出文件失败: %w", err)
 			}
 			fmt.Printf("已导出到 %s\n", output)

cmd/send_message.go

@@ -117,20 +117,20 @@ var sendMessageCmd = &cobra.Command{
 		// 文件/图片路径预检查
 		if filePath != "" {
 			if _, err := os.Stat(filePath); err != nil {
-				return fmt.Errorf("指定的文件不存在: %s", filePath)
+				return fmt.Errorf("无法访问文件: %w", err)
 			}
 		}
 		if imagePath != "" {
 			if _, err := os.Stat(imagePath); err != nil {
-				return fmt.Errorf("指定的图片文件不存在: %s", imagePath)
+				return fmt.Errorf("无法访问图片文件: %w", err)
 			}
 		}
 
 		var msgContent string
 		switch {
 		case filePath != "":
 			// Upload file via IM API, then send as file message
-			fmt.Printf("正在上传文件: %s\n", filepath.Base(filePath))
+			fmt.Fprintf(os.Stderr, "正在上传文件: %s\n", filepath.Base(filePath))
 			fileKey, err := client.UploadIMFile(filePath, "")
 			if err != nil {
 				return err
@@ -141,7 +141,7 @@ var sendMessageCmd = &cobra.Command{
 
 		case imagePath != "":
 			// Upload image via IM API, then send as image message
-			fmt.Printf("正在上传图片: %s\n", filepath.Base(imagePath))
+			fmt.Fprintf(os.Stderr, "正在上传图片: %s\n", filepath.Base(imagePath))
 			imageKey, err := client.UploadIMImage(imagePath)
 			if err != nil {
 				return err

internal/auth/device_flow.go

@@ -125,7 +125,7 @@ func RequestDeviceAuthorization(appID, appSecret, baseURL, scope string) (*Devic
 	expiresIn := int(deviceFlowToFloat64(raw["expires_in"], 240))
 	interval := int(deviceFlowToFloat64(raw["interval"], 5))
 
-	if deviceCode == "" || userCode == "" {
+	if deviceCode == "" || userCode == "" || verificationURI == "" {
 		return nil, fmt.Errorf("设备授权响应缺少必要字段，响应: %s", deviceFlowTruncate(string(respBody), 300))
 	}
 

internal/client/im_upload.go

@@ -9,6 +9,11 @@ import (
 	larkim "github.com/larksuite/oapi-sdk-go/v3/service/im/v1"
 )
 
+const (
+	maxIMFileSize  = 30 << 20 // 30 MB，IM 文件上传限制
+	maxIMImageSize = 10 << 20 // 10 MB，IM 图片上传限制
+)
+
 // fileExtToIMType maps common file extensions to Feishu IM file_type values.
 // Falls back to "stream" for unknown extensions.
 func fileExtToIMType(filename string) string {
@@ -45,6 +50,14 @@ func UploadIMFile(filePath string, fileName string) (string, error) {
 	}
 	defer f.Close()
 
+	stat, err := f.Stat()
+	if err != nil {
+		return "", fmt.Errorf("获取文件信息失败: %w", err)
+	}
+	if stat.Size() > maxIMFileSize {
+		return "", fmt.Errorf("文件大小 %s 超过 IM 上传限制（30MB），请使用 file upload 命令上传到云空间", formatSize(int(stat.Size())))
+	}
+
 	if fileName == "" {
 		fileName = filepath.Base(filePath)
 	}
@@ -59,7 +72,7 @@ func UploadIMFile(filePath string, fileName string) (string, error) {
 			Build()).
 		Build()
 
-	resp, err := client.Im.File.Create(Context(), req)
+	resp, err := client.Im.File.Create(ContextWithTimeout(downloadTimeout), req)
 	if err != nil {
 		return "", fmt.Errorf("上传文件失败: %w", err)
 	}
@@ -89,14 +102,22 @@ func UploadIMImage(filePath string) (string, error) {
 	}
 	defer f.Close()
 
+	stat, err := f.Stat()
+	if err != nil {
+		return "", fmt.Errorf("获取图片信息失败: %w", err)
+	}
+	if stat.Size() > maxIMImageSize {
+		return "", fmt.Errorf("图片大小 %s 超过 IM 上传限制（10MB）", formatSize(int(stat.Size())))
+	}
+
 	req := larkim.NewCreateImageReqBuilder().
 		Body(larkim.NewCreateImageReqBodyBuilder().
 			ImageType("message").
 			Image(f).
 			Build()).
 		Build()
 
-	resp, err := client.Im.Image.Create(Context(), req)
+	resp, err := client.Im.Image.Create(ContextWithTimeout(downloadTimeout), req)
 	if err != nil {
 		return "", fmt.Errorf("上传图片失败: %w", err)
 	}

skills/feishu-cli-auth/SKILL.md

@@ -282,6 +282,9 @@ feishu-cli auth login --manual --scopes "offline_access search:docs:read search:
 
 # Device Flow：无需在飞书开放平台配置重定向 URL 白名单
 feishu-cli auth login --method device
+
+# Device Flow + 指定 scope
+feishu-cli auth login --method device --scopes "offline_access search:docs:read"
 ```
 
 ### Authorization Code Flow 前置条件
@@ -303,7 +306,7 @@ Device Flow（`--method device`）无需此配置。
 2. 终端显示用户码和验证链接，在浏览器中打开链接并输入用户码完成授权
 3. 命令自动轮询等待授权完成，成功后保存 Token
 
-**注意**：Device Flow 不支持指定 scope，服务端按应用已开通的权限授予。如需特定 scope，请改用标准 `auth login` 并配置重定向 URL 白名单。
+Device Flow 支持 `--scopes` 参数指定 OAuth scope（会自动追加 `offline_access`）。未指定时默认请求 `offline_access`。
 
 ---
 

skills/feishu-cli-export/SKILL.md

@@ -294,6 +294,7 @@ feishu-cli doc export-file <doc_token> --type pdf -o output.pdf
 | `<doc_token>` | 文档 Token | 必填 |
 | `--type` | 导出格式 | 必填 |
 | `-o, --output` | 输出文件路径 | 必填 |
+| `--user-access-token` | User Access Token（用于导出无 App 权限的文档） | 自动读取 |
 
 ### 示例
 
@@ -303,6 +304,9 @@ feishu-cli doc export-file JKbxdRez1oNWEKxPz14cWMpBnKh --type pdf -o /tmp/report
 
 # 导出为 Word
 feishu-cli doc export-file JKbxdRez1oNWEKxPz14cWMpBnKh --type docx -o /tmp/report.docx
+
+# 使用 User Token 导出（无 App 权限的文档）
+feishu-cli doc export-file JKbxdRez1oNWEKxPz14cWMpBnKh --type pdf -o /tmp/report.pdf --user-access-token u-xxx
 ```
 
 ---

skills/feishu-cli-msg/SKILL.md

@@ -28,10 +28,12 @@ allowed-tools: Bash, Read, Write
 | 输入方式 | 参数 | 适用场景 |
 |---------|------|---------|
 | 快捷文本 | `--text "内容"` | 纯文本消息，最简单 |
+| 发送文件 | `--file <路径>` 或 `-f` | 本地文件自动上传并发送（限 30MB） |
+| 发送图片 | `--image <路径>` | 本地图片自动上传并发送（限 10MB） |
 | 内联 JSON | `--content '{"key":"val"}'` 或 `-c` | 简单 JSON，一行搞定 |
 | JSON 文件 | `--content-file file.json` | 复杂消息（卡片、富文本等） |
 
-**优先级**：`--text` > `--content` > `--content-file`（同时指定时前者优先）
+**互斥**：以上 5 种输入方式**只能指定一个**，同时指定会报错。
 
 ### 接收者类型
 
@@ -93,9 +95,33 @@ feishu-cli msg send \
   --receive-id-type <type> \
   --receive-id <id> \
   [--msg-type <msg_type>] \
-  [--text "<text>" | --content '<json>' | --content-file <file.json>]
+  [--text "<text>" | --file <path> | --image <path> | --content '<json>' | --content-file <file.json>]
 ```
 
+### file 类型（直发文件）
+
+```bash
+# 直接发送本地文件（自动上传，限 30MB）
+feishu-cli msg send \
+  --receive-id-type email \
+  --receive-id user@example.com \
+  --file /path/to/report.pdf
+```
+
+自动推断文件 MIME 类型（opus/mp4/pdf/doc/xls/ppt），未知类型使用 `stream`。超过 30MB 的文件请先用 `file upload` 上传到云空间，再用 `--msg-type file --content '{"file_key":"..."}'` 发送。
+
+### image 类型（直发图片）
+
+```bash
+# 直接发送本地图片（自动上传，限 10MB）
+feishu-cli msg send \
+  --receive-id-type chat_id \
+  --receive-id oc_xxx \
+  --image /path/to/screenshot.png
+```
+
+支持 JPEG、PNG、BMP、GIF、TIFF、WebP 格式。
+
 ### text 类型
 
 ```bash

skills/feishu-cli-perm/SKILL.md

@@ -196,16 +196,18 @@ feishu-cli perm password delete <TOKEN> [--doc-type <DOC_TYPE>]
 
 ### member-type（协作者 ID 类型）
 
-| 值 | 说明 | 使用场景 | 示例 |
-|----|------|----------|------|
-| `email` | 邮箱 | **最常用**，精确到个人 | user@example.com |
-| `openid` | Open ID | 通过开放平台获取的用户 ID | ou_xxx |
-| `userid` | User ID | 企业内部用户 ID | 123456 |
-| `unionid` | Union ID | 跨应用统一 ID | on_xxx |
-| `openchat` | 群聊 ID | **按群聊授权**，群内所有成员获得权限 | oc_xxx |
-| `opendepartmentid` | 部门 ID | **按部门授权**，部门内所有成员获得权限 | od_xxx |
-| `groupid` | 群组 ID | 用户组 | gc_xxx |
-| `wikispaceid` | 知识空间 ID | 知识库空间 | ws_xxx |
+| 值 | 别名（IM 风格） | 说明 | 使用场景 | 示例 |
+|----|-----------------|------|----------|------|
+| `email` | — | 邮箱 | **最常用**，精确到个人 | user@example.com |
+| `openid` | `open_id` | Open ID | 通过开放平台获取的用户 ID | ou_xxx |
+| `userid` | `user_id` | User ID | 企业内部用户 ID | 123456 |
+| `unionid` | `union_id` | Union ID | 跨应用统一 ID | on_xxx |
+| `openchat` | `chat_id` | 群聊 ID | **按群聊授权**，群内所有成员获得权限 | oc_xxx |
+| `opendepartmentid` | — | 部门 ID | **按部门授权**，部门内所有成员获得权限 | od_xxx |
+| `groupid` | — | 群组 ID | 用户组 | gc_xxx |
+| `wikispaceid` | — | 知识空间 ID | 知识库空间 | ws_xxx |
+
+> IM API 风格别名（`open_id`、`user_id`、`union_id`、`chat_id`）会自动映射为标准值，两种写法等效。
 
 ### doc-type（云文档类型）
 

skills/feishu-cli-toolkit/SKILL.md

@@ -294,7 +294,7 @@ feishu-cli file move <file_token> --target <folder_token> --type <docx|sheet|fil
 feishu-cli file copy <file_token> --target <folder_token> --type <type> [--name "新名"]
 feishu-cli file delete <file_token> --type <type>    # 移到回收站，30 天可恢复
 
-# 下载/上传
+# 下载/上传（≤20MB 单步上传，>20MB 自动分片上传）
 feishu-cli file download <file_token> -o output.pdf
 feishu-cli file upload local_file.pdf --parent <FOLDER_TOKEN> [--name "自定义名"]