PluginBench
AI Skill

lark-shared

open.feishu.cn

Manage lark-cli auth, identity, and permissions for Feishu/Lark API access

View on skills.sh

What is lark-shared?

lark-shared is a SKILL.md package that guides coding agents through lark-cli setup and authentication tasks. It covers config initialization, user vs. bot identity selection, OAuth login flows (by domain or scope), checking auth status, logout, permission error handling, and safe execution of high-risk write operations. Designed for use with Claude Code, Cursor, and similar AI coding agents.

  • Guides lark-cli config initialization and application setup
  • Handles auth login flows using --domain or --scope flags, including split-flow for non-blocking agent use
  • Checks current login status and token validity via auth status --json --verify
  • Distinguishes user identity (--as user) from bot identity (--as bot) and explains when to use each
  • Explains how to handle missing scopes for both bot (developer console) and user (auth login) identities
  • Manages high-risk write operation approval protocol (exit code 10 / --yes confirmation gate)

How to install lark-shared

npx skills add null --skill lark-shared
Prerequisites
  • lark-cli must be installed and accessible in PATH
  • A Feishu/Lark application with appId and appSecret must be configured
  • Run lark-cli config init --new before first use
  • For user identity: user must complete OAuth authorization via verification URL or QR code
  • For bot identity: scopes must be enabled in the Feishu developer console
Claude Code
Cursor
Windsurf
Cline

How to use lark-shared

  1. 1.Install the skill: npx skills add null --skill lark-shared
  2. 2.Initialize lark-cli config by running lark-cli config init --new in background mode and sharing the verification URL or QR code with the user
  3. 3.To log in as a user, run lark-cli auth login --domain all --no-wait --json (or specify --domain or --scope)
  4. 4.For agent-driven auth, use split-flow: issue --no-wait to get device_code and verification_url, show QR code via lark-cli auth qrcode, then poll with --device-code in a follow-up turn
  5. 5.Check current auth status with lark-cli auth status --json --verify and inspect identity, verified, and scope fields
  6. 6.For bot permission errors, extract console_url from the error response and direct the user to the Feishu developer console — do not run auth login for bot
  7. 7.Log out with lark-cli auth logout --json; confirm loggedOut:true in the response
  8. 8.For high-risk write operations, check for exit code 10 and error.type == confirmation_required, confirm with the user, then retry with --yes appended

Use cases

Good for
  • Authenticating a user to access personal Feishu resources like calendar or cloud drive
  • Diagnosing and resolving permission errors for bot or user API calls
  • Running non-blocking OAuth flows in an AI agent context using split-flow with --no-wait
  • Checking who is currently logged in and whether their token is valid
  • Safely previewing and confirming high-risk write operations before execution
Who it's for
  • Developers building integrations with the Feishu/Lark API using lark-cli
  • AI coding agents (Claude Code, Cursor) automating Feishu workflows
  • Teams managing bot and user identity permissions for Feishu applications
  • Engineers debugging scope or authorization errors in lark-cli commands

lark-shared FAQ

What is the difference between bot and user identity?

Bot identity (--as bot) uses appId + appSecret automatically and can only access resources owned by the bot. User identity (--as user) requires auth login and can access the logged-in user's personal resources like calendar and cloud drive.

How do I fix a missing scope error?

For bot identity, go to the Feishu developer console using the console_url in the error response and enable the required scope. For user identity, run lark-cli auth login --scope "<missing_scope>" to grant the additional permission.

What does exit code 10 mean?

Exit code 10 means a high-risk write operation requires explicit confirmation. Show the user the risk.action and parameters, wait for their approval, then retry the same command with --yes appended.

How do I suppress _notice fields in JSON output for scripting?

Set environment variables before the command: LARKSUITE_CLI_NO_UPDATE_NOTIFIER=1 LARKSUITE_CLI_NO_SKILLS_NOTIFIER=1 lark-cli <command> --json

Can I revoke a single scope from the CLI?

No. lark-cli does not support revoking individual scopes. You can re-authorize with a minimal scope set, or have the user manually revoke authorization from the Feishu authorization management page.

Full instructions (SKILL.md)

Source of truth, from open.feishu.cn.

name: lark-shared version: 1.0.0 description: "Use for lark-cli setup/auth tasks: auth login/status/logout, user vs bot identity, business-domain permissions (--domain, including all/docs/drive), missing scopes, revoking authorization, or handling _notice JSON."

lark-cli 共享规则

本技能指导你如何通过lark-cli操作飞书资源, 以及有哪些注意事项。

配置初始化

首次使用需运行 lark-cli config init 完成应用配置。

当你帮用户初始化配置时,使用background方式使用下面的命令发起配置应用流程,启动后读取输出,从中提取授权链接并发给用户。

URL 转发规则:当命令输出 verification_urlverification_uri_completeconsole_url 等 URL 字段时:必须生成二维码:你必须调用 lark-cli auth qrcode 将 URL 转为二维码并展示给用户,这是必须步骤,不要跳过。优先生成 PNG 二维码(--output);仅当用户明确要求时才使用 ASCII(--ascii)。URL 输出规则:将 URL 视为不可修改的 opaque string,不要做任何修改(包括 URL 编码/解码、添加空格或标点、重新拼接 query),二维码和链接请一起展示给用户。

# 发起配置(该命令会阻塞直到用户打开链接并完成操作或过期)
lark-cli config init --new

认证

认证任务速查

认证、scope、业务域、登录态、退出登录态、撤销授权问题都走本技能。

用户意图首选命令 / 回答
获取全部权限lark-cli auth login --domain all --no-wait --json
按业务域授权lark-cli auth login --domain docs --domain drive --no-wait --json--domain 可重复,也可用逗号分隔
指定单个 scope 授权lark-cli auth login --scope "<scope>" --no-wait --json
检查当前登录态、是谁登录、token 是否有效lark-cli auth status --json --verify;回答时引用 identityverifiedidentities.user.statusidentities.user.userNameidentities.user.openId(用户 open id)、identities.user.tokenStatusidentities.user.scope
退出当前机器的用户登录态lark-cli auth logout --jsonloggedOut:true 表示注销成功
bot 缺少权限不要执行 auth login;引导用户在开发者后台开通 bot scope,优先复用错误里的 console_url
取消用户对应用的全部服务端授权auth logout 只清本机登录态;服务端授权需用户在飞书授权管理页取消
只取消一个 scopeCLI 不支持单独撤销一个已授予 scope;可重新走最小 scope 授权,或让用户在授权管理页处理

机器读取 JSON 时,为减少 _notice 干扰,可在命令前加:

LARKSUITE_CLI_NO_UPDATE_NOTIFIER=1 LARKSUITE_CLI_NO_SKILLS_NOTIFIER=1 lark-cli auth status --json --verify

身份类型

两种身份类型,通过 --as 切换:

身份标识获取方式适用场景
user 用户身份--as userlark-cli auth login访问用户自己的资源(日历、云空间/云盘/云存储等)
bot 应用身份--as bot自动,只需 appId + appSecret应用级操作,访问bot自己的资源

身份选择原则

输出的 [identity: bot/user] 代表当前身份。bot 与 user 表现差异很大,需确认身份符合目标需求:

  • Bot 看不到用户资源:无法访问用户的日历、云空间(云盘/云存储)文档、邮箱等个人资源。例如 --as bot 查日程返回 bot 自己的(空)日历
  • Bot 无法代表用户操作:发消息以应用名义发送,创建文档归属 bot
  • Bot 权限:只需在飞书开发者后台开通 scope,无需 auth login
  • User 权限:后台开通 scope + 用户通过 auth login 授权,两层都要满足

权限不足处理

遇到权限相关错误时,根据当前身份类型采取不同解决方案

错误响应中包含关键信息:

  • permission_violations:列出缺失的 scope (N选1)
  • console_url:飞书开发者后台的权限配置链接
  • hint:建议的修复命令

Bot 身份(--as bot

将错误中的 console_url 原样提供给用户,引导去后台开通 scope。禁止对 bot 执行 auth login

User 身份(--as user

lark-cli auth login --domain <domain>           # 按业务域授权
lark-cli auth login --scope "<missing_scope>"   # 按具体 scope 授权(推荐,符合最小权限原则)

规则:auth login 必须指定范围(--domain--scope)。多次 login 的 scope 会累积(增量授权)。

Agent 代理发起认证(推荐)

当你作为 AI agent 需要帮用户完成认证时,优先使用 split-flow,避免在同一轮对话中阻塞等待用户授权:

# 发起授权(立即返回 device_code 和 verification_url)
lark-cli auth login --scope "calendar:calendar:readonly" --no-wait --json

拿到 verification_url 后,将它原样作为本轮最终消息发给用户,并结束本轮/交还控制权。不要在同一轮中展示 URL 后立刻执行 --device-code 阻塞轮询;在不透传中间输出的 agent harness 里,这会导致用户永远看不到 URL。

用户回复已完成授权后,再在后续步骤执行:

lark-cli auth login --device-code <device_code>

Split-Flow 完整步骤

第一步:发起授权(当前轮)

  1. 执行 lark-cli auth login --scope "xxx" --no-wait --json(必须加 --no-wait --json
  2. 从 JSON 输出中提取 verification_urldevice_code
  3. 生成二维码:lark-cli auth qrcode <verification_url> --output "xxx"
  4. 将 URL 和二维码展示给用户(先 URL,后二维码)
  5. 结束本轮对话前,必须明确告知用户:"请完成授权后,回来告诉我已授权完成,我会帮你完成后续步骤"

第二步:完成授权(后续轮)

  1. 等待用户回复"已完成授权"
  2. 由你(AI agent)亲自执行lark-cli auth login --device-code <device_code>
  3. 此命令会轮询授权状态并完成登录
  4. 如果返回授权成功,流程结束

关键规则

  • 你必须亲自执行 --device-code 命令,不要指示用户自行执行
  • 不要在同一轮中展示 URL 后立刻执行 --device-code,这会导致用户看不到 URL
  • 禁止缓存 verification_urldevice_code:每次需要授权时,必须重新执行 lark-cli auth login --no-wait --json 生成新的链接。不要将授权链接和 device code 存入上下文供后续复用

更新检查

lark-cli 命令执行后,如果检测到新版本,JSON 输出中会包含 _notice.update 字段(含 messagecommand 等)。

除非用户正在询问更新、版本或 notice,否则不要把 _notice 原样复制为当前任务的主要答案,也不要为了 notice 中断当前任务去反复查 help。

需要稳定 JSON 给脚本或机器读取时,可以在命令前设置:

LARKSUITE_CLI_NO_UPDATE_NOTIFIER=1 LARKSUITE_CLI_NO_SKILLS_NOTIFIER=1 <lark-cli command>

当你在输出中看到 _notice.update 时,先完成用户当前请求;如仍相关,再简短告知可运行:

lark-cli update

重要:始终使用 lark-cli update 更新,它会同时更新 CLI 和 AI Skills。

安全规则

  • 禁止输出密钥(appSecret、accessToken)到终端明文。
  • 写入/删除操作前必须确认用户意图
  • --dry-run 预览危险请求。
  • 文件路径只接受相对路径--file--output--output-dir@file 等路径参数只接受 cwd 下的相对路径,传绝对路径会报 unsafe file path。数据输入(@file、大 JSON)优先用 stdin 传入,避免路径和转义问题。

高风险操作的审批协议(exit 10)

lark-cli 对高风险写操作(risk: "high-risk-write")有强制确认门禁。当你不带 --yes 调用这类命令时,CLI 会退出码 10、并在 stderr 返回如下结构化 envelope:

{
  "ok": false,
  "error": {
    "type": "confirmation_required",
    "message": "drive +delete requires confirmation",
    "hint": "add --yes to confirm",
    "risk": {
      "level": "high-risk-write",
      "action": "drive +delete"
    }
  }
}

遇到这种情况,不要当普通错误放弃。 按以下流程处理:

  1. 识别:看到子进程 exit code = 10 且 stderr JSON 里 error.type == "confirmation_required"
  2. 向用户确认:把 error.risk.action 和关键参数展示给用户,明确告知"这是高风险操作",等待用户显式同意
  3. 用户同意 → 在你原始 argv 的末尾追加 --yes 后重试
  4. 用户拒绝 → 终止流程,不要擅自改写参数或跳过门禁

绝对不允许

  • 看到 exit 10 就默认加 --yes 静默重试(这等于禁用门禁)
  • confirmation_required 当网络错误/权限错误处理
  • 在用户没明确同意的前提下追加 --yes 重试
  • sh -c 等 shell 方式拼接命令重试——用 exec.Command(argv...) 参数数组形式,避免 shell 解析把用户参数当作语法

提前预判:想先让用户 review 危险操作的具体请求,调用时加 --dry-run——它不触发门禁,会打印完整请求详情(URL / body / params),你可以把这个预览给用户看过再去真正执行。

如何识别一条命令是高风险

  • shortcut:lark-cli <service> +<cmd> --help 顶部会显示 Risk: high-risk-write
  • service 命令:lark-cli schema <service>.<resource>.<method> --format json 的返回值里 "risk": "high-risk-write"

Related skills

More from open.feishu.cn and the wider catalog.

LA

lark-approval

open.feishu.cn

飞书审批:查询和处理审批待办/已办/实例,搜索可发起审批定义、查看定义详情并发起原生审批实例。当用户要处理审批任务、查看审批实例、搜索或发起审批时使用。审批待办不是飞书任务;非审批类待办走 lark-task。不负责创建审批定义;三方审批定义不走原生提单。

320k installs
LA

lark-doc

open.feishu.cn

飞书云文档(Docx / Wiki 文档):读取和编辑飞书文档内容。当用户给出文档 URL 或 token,或需要查看、创建、编辑文档、插入或下载文档图片附件时使用。文档中嵌入的电子表格、多维表格、画板,先用本 skill 提取 token 再切到对应 skill。当用户给出 doubao.com 的 /docx/ 或 /wiki/ URL/token 时,也应直接使用本 skill;路由依据是 URL 路径模式和 token,而不是域名。不负责文档评论管理,也不负责表格或 Base 的数据操作。

320k installs
LA

lark-base

open.feishu.cn

飞书多维表格(Base)操作:建表、字段、记录、视图、统计、公式/lookup、表单、仪表盘、workflow、角色权限;遇到 Base/多维表格/bitable 或 /base/ 链接时使用。文件导入转 lark-drive,认证/授权转 lark-shared。

320k installs
LA

lark-calendar

open.feishu.cn

飞书日历:管理日历日程和会议室。查看/搜索日程、创建/更新日程、管理参会人、查询忙闲和推荐时段、预定会议室。当用户需要查看日程安排、创建/修改会议、查询/预定会议室时使用。不负责:查询过去的视频会议记录(走 lark-vc)、待办任务(走 lark-task)。

320k installs
LA

lark-drive

open.feishu.cn

飞书云空间(云盘/云存储):管理 Drive 文件和文件夹,包含上传/下载、创建文件夹、复制/移动/删除、查看元数据、评论/权限/订阅、标题、版本和本地文件导入。用户需要整理云盘目录、处理云空间资源 URL/token,或导入 Word/Markdown/Excel/CSV/PPTX/.base 为 docx/sheet/bitable/slides 时使用;doubao.com 云空间 URL/token 也按资源路径和 token 路由,不回退 WebFetch。不负责:文档内容编辑(走 lark-doc)、表格/Base 表内数据操作(走 lark-sheets/lark-base)、知识空间节点/成员管理(走 lark-wiki)、原生 Markdown 文件读写/patch/diff(走 lark-markdown)。

320k installs
LA

lark-contact

open.feishu.cn

飞书 / Lark 通讯录:按姓名 / 邮箱解析成 open_id,或按 open_id 反查姓名 / 部门 / 邮箱 / 联系方式 / 个人状态 / 签名。当用户提到某人姓名要下一步发消息 / 排日程,或拿到 open_id 想查具体信息时使用。不负责部门树遍历、按部门列员工、组织架构图,这类需求走原生 OpenAPI。

320k installs