chore: upgrade PyMax to 2.1.2

Author: eiler2005

CHANGELOG.md

@@ -17,6 +17,7 @@ All notable changes to Maxgram are documented here.
 - **Architecture decision ADR-005** — documents the account migration recovery registry, privacy constraints, remap behavior, and V1 non-automation boundaries.
 
 ### Changed
+- **PyMax 2.1.2 upgrade** — `maxapi-python` is pinned to 2.1.2. Bridge login validation now accepts tokenless `LOGIN` responses without re-injecting the saved session token, while keeping backend-local sanitizers for unsupported initial-sync payload drift.
 - **Telegram command access model** — `/dm` remains public only in General via an explicit allowlist; `/recovery ...` and other arg commands remain owner-only even in General.
 - **Remap-safe reply routing** — after `/recovery remap`, replies to old Telegram messages no longer send stale MAX `reply_to_msg_id` values when the mapped MAX message belongs to the old chat id.
 - **Recovery snapshot upsert deltas** — `upsert_recovery_snapshot()` now returns `inserted`, `status_changed`, `unmapped`, `needs_invite`, and `manual_admin_required`, and stores a redacted scan reason in recovery events.
@@ -32,6 +33,7 @@ All notable changes to Maxgram are documented here.
 - **Top-level MAX voice payloads** — raw notifications where `payload` itself is the message and media is stored under `attachments` are now normalized before pymax can drop the attachment list.
 
 ### Tests
+- Added PyMax 2.1.2 runtime version pinning and a regression test for tokenless `LoginResponse` validation.
 - Added coverage for durable inbound/outbound text queues, plaintext clearing after delivery, stale MAX transport readiness, non-queued ambiguous ack timeouts, and non-persisted TG→MAX media failures.
 - Added coverage for DM title resolution order, cached contact name lookup, raw message interceptor, duplicate suppression, top-level raw audio payloads, and recent-history recovery of typed-empty MAX voice events.
 - Added coverage for SQLite recovery migrations/idempotency/deltas, DM contact recovery upsert/export/privacy, recovery report/export/remap, MAX recovery snapshot collection, async event-driven recovery scans, quiet status-summary recovery alerts, account-migration notification privacy/deduplication, owner-only `/recovery`, command allowlist privacy, stale reply routing after remap, and privacy of recovery reports/logs.

CLAUDE.md

@@ -91,7 +91,7 @@ Supervisor ──► Worker(MAX Adapter ──► Bridge Core ──► TG Adapt
 - Не делать профилактический/автоматический MAX reauth. Обычный offline/reboot/week-away сценарий должен использовать существующий persisted device token как обычный клиент; reauth разрешён только при явном `requires_reauth=true`/invalid token или осознанной ручной проверке с остановленным bridge. Перед reauth сохранять snapshot `session.db`; не запускать второй MAX-клиент рядом с работающим bridge.
 - `Opcode.SESSIONS_CLOSE` нельзя использовать как точечное закрытие одной старой сессии: live-проверка показала, что вызов с `{"time": ...}` привёл к `FAIL_LOGOUT_ALL` и инвалидировал desktop tokens. Старые MAX sessions закрывать только вручную в телефоне, пока не будет подтверждённого безопасного payload/API.
 - MAX initial sync может вернуть `lastMessage.attaches.type=UNSUPPORTED`; upstream PyMax 2 `LoginResponse` strict union падает. `src/adapters/max/backends/pymax/login.py` ставит backend-local `BridgeAuthService`, который удаляет только unknown attachments до validation.
-- PyMax 2.1.x `LoginResponse` требует `token`, но MAX может не вернуть его при логине с уже существующей session. `BridgeAuthService` в `src/adapters/max/backends/pymax/login.py` перед validation безопасно подставляет текущий `session.token` и логирует только факт repair (`filled_token_from_session=true`), не значение token.
+- PyMax 2.1.2 `LoginResponse.token` optional: MAX может не вернуть новый token при логине с уже существующей session, а upstream `App.start()` должен сохранить текущий session token. `BridgeAuthService` больше не подставляет `session.token` в response; он остаётся только для unsupported attachments / non-critical initial-sync payload drift.
 - PyMax 2 может отдать `message.text` как `bytes`; для SHARE/сложных payload это может быть msgpack-like binary, а не plain UTF-8. `MaxEventsService` сначала пробует извлечь `text` через msgpack, затем strict UTF-8, и не форвардит binary garbage с `�`.
 - PyMax 2 TCP msgpack decoder может падать на raw `CHAT_HISTORY`, если MAX отдаёт map с array-like key (`TypeError: unhashable type: 'list'`). `src/adapters/max/backends/pymax/transport.py` ставит backend-local `BridgeMsgpackPayloadCodec`, который конвертирует такие keys в hashable форму до нормализации payload.
 - PyMax 2 TCP `seq` в upstream растёт до `0xFFFFFFFF`, но TCP framer пакует его в one-byte поле; после `255` возникает `struct.error: 'B' format requires 0 <= number <= 255` и ломаются `CHAT_HISTORY`/TG→MAX sends. `src/adapters/max/backends/pymax/transport.py` ставит `BridgeConnectionManager`/sequence guard с wrap `% 0x100`; regression marker: `pymax_tcp_sequence_overflow`.

docs/decisions/ADR-004-pymax-reconnect-strategy.md

@@ -2,7 +2,7 @@
 
 **Статус:** Принято  
 **Дата:** 2026-04  
-**Обновлено:** 2026-05-28 для PyMax 2.1.1  
+**Обновлено:** 2026-06-04 для PyMax 2.1.2
 **Контекст:** Обнаружен баг при отладке production
 
 ## Проблема
@@ -53,3 +53,4 @@ async def _make_client(self):
 - Readiness не равен только `_started`: после network/router flap PyMax 2 может закрыть внутренний transport, но не вернуть управление из `start()`. Поэтому `MaxAdapter.is_ready()` проверяет `client.is_connected`; watchdog видит закрытый transport и после grace-period может выполнить self-heal restart процесса.
 - PyMax 2.1.0 исправил TCP header/seq layout (`seq` стал 16-bit). Bridge больше не заворачивает `seq` на 256; `BridgeConnectionManager` оставлен как bridge-owned egress connection boundary с тем же 16-bit range и regression guard.
 - PyMax 2.1.1 исправил upstream TLS `server_hostname` при TCP proxy и сохранение обновлённого session token после login/`close_all_sessions()`. Bridge сохраняет свой `EgressTCPTransport` как MAX-only egress boundary и проверяет `server_hostname` regression-тестом.
+- PyMax 2.1.2 сделал `LoginResponse.token` optional и сохраняет текущий session token, когда `LOGIN` не возвращает новый token. Bridge больше не подставляет token в login response; backend-local `BridgeAuthService` остаётся только для tolerant validation initial-sync payload drift.

docs/tests.md

@@ -15,11 +15,11 @@ PYTHONPATH=. .venv/bin/python -m compileall src tests
 .venv/bin/mypy --check-untyped-defs --no-implicit-optional --ignore-missing-imports --follow-imports=silent src/bridge/core.py src/bridge/status.py src/bridge/media_retry.py src/bridge/recovery/scheduler.py src/bridge/commands/dispatcher.py
 ```
 
-Всего: **279 тестов**, async-тесты идут через `pytest-asyncio`, property-based parser guards — через `hypothesis`. Внешних зависимостей нет: SQLite через `tmp_path`, MAX и Telegram заменены stub/fake-классами.
+Всего: **286 тестов**, async-тесты идут через `pytest-asyncio`, property-based parser guards — через `hypothesis`. Внешних зависимостей нет: SQLite через `tmp_path`, MAX и Telegram заменены stub/fake-классами.
 
 GitHub Actions выполняет тот же gate: `compileall`, repo-level `ruff check`, scoped bridge `ruff`, scoped `mypy` для MAX/bridge boundaries, затем `pytest --cov=src --cov-report=term-missing --cov-report=xml --cov-report=html --cov-fail-under=75`. HTML/XML coverage отчёты загружаются artifact-ом `coverage-report`.
 
-Тесты с marker `architecture` — это service-boundary/refactoring guards (`test_bridge_contracts.py`, `test_max_adapter_leaves.py`, `test_pymax_surface_pin.py`). Их можно отделить от бизнес-регресса командой `pytest -m "not architecture"`; пока они остаются частью полного gate и не отключены.
+Тесты с marker `architecture` — это service-boundary/refactoring guards (`test_bridge_contracts.py`, `test_max_adapter_leaves.py`, `test_pymax_surface_pin.py`). `test_pymax_surface_pin.py` также фиксирует runtime version `pymax.__version__ == "2.1.2"`. Их можно отделить от бизнес-регресса командой `pytest -m "not architecture"`; пока они остаются частью полного gate и не отключены.
 
 ```text
                          pytest -q
@@ -269,6 +269,7 @@ Raw payload implementation is split behind `src/adapters/max/raw_payload.py`: pa
 | `test_max_reauth_snapshot_session_db_copies_without_token_output` | Перед reauth создаётся `session.db.before-reauth-*` snapshot с правами `0600`, без чтения/печати token. |
 | `test_pymax2_login_payload_drops_unsupported_attachments` | `login.py` удаляет unsupported attachments из initial sync payload до strict PyMax 2 `LoginResponse` validation. |
 | `test_pymax2_login_validation_repairs_noncritical_payload_drift` | `validate_login_response()` не валит MAX runtime из-за одного битого `lastMessage`/history/contact узла initial sync. |
+| `test_pymax212_login_validation_allows_tokenless_response` | PyMax 2.1.2 `LoginResponse.token=None` принимается без bridge-side подстановки текущего session token. |
 | `test_pymax2_login_validation_error_is_safe_and_classified` | Невосстановимый PyMax payload drift логируется без raw payload/`input_val` и классифицируется как `pymax_payload_drift`, reauth не нужен. |
 | `test_pymax2_handler_signatures_are_adapted_to_bridge_callbacks` | PyMax 2 callbacks `(event, client)` адаптируются к bridge callbacks без pymax types снаружи. |
 | `test_pymax2_raw_gateway_converts_frames_and_invokes_app` | Native `on_raw` конвертируется в bridge raw dict, а raw requests изолированы через `_app.invoke`. |

requirements.txt

@@ -2,7 +2,7 @@
 aiogram==3.26.0
 
 # MAX userbot
-maxapi-python==2.1.1
+maxapi-python==2.1.2
 requests>=2.31,<3
 
 # Database

src/adapters/max/backends/pymax/login.py

@@ -69,15 +69,9 @@ def sanitize_login_payload(payload: dict[str, Any]) -> dict[str, Any]:
 
 def validate_login_response(
     payload: dict[str, Any],
-    *,
-    session_token: str | None = None,
 ) -> LoginResponse:
     """Validate login response while tolerating non-critical PyMax model drift."""
     sanitized = sanitize_login_payload(payload)
-    filled_token = _fill_missing_token_from_session(
-        sanitized,
-        session_token=session_token,
-    )
     try:
         response = LoginResponse.model_validate(sanitized)
     except ValidationError as exc:
@@ -89,21 +83,12 @@ def validate_login_response(
                 errors=_safe_validation_errors(exc),
             ) from exc
     else:
-        if filled_token:
-            _log_login_payload_repaired(
-                dropped_last_messages=0,
-                dropped_messages=0,
-                nulled_contacts=0,
-                filled_token_from_session=True,
-                validation_paths=[],
-            )
         return response
 
     _log_login_payload_repaired(
         dropped_last_messages=repair.dropped_last_messages,
         dropped_messages=repair.dropped_messages,
         nulled_contacts=repair.nulled_contacts,
-        filled_token_from_session=filled_token,
         validation_paths=repair.validation_paths[:8],
     )
     try:
@@ -148,20 +133,6 @@ def _is_message_element(value: dict[str, Any]) -> bool:
     return isinstance(value.get("type"), str) and isinstance(value.get("length"), int)
 
 
-def _fill_missing_token_from_session(
-    payload: dict[str, Any],
-    *,
-    session_token: str | None,
-) -> bool:
-    if not session_token:
-        return False
-    token = payload.get("token")
-    if isinstance(token, str) and token:
-        return False
-    payload["token"] = session_token
-    return True
-
-
 def _safe_validation_errors(exc: ValidationError) -> list[dict[str, Any]]:
     return exc.errors(include_url=False, include_input=False)
 
@@ -290,7 +261,6 @@ def _log_login_payload_repaired(
     dropped_last_messages: int,
     dropped_messages: int,
     nulled_contacts: int,
-    filled_token_from_session: bool,
     validation_paths: list[str],
 ) -> None:
     log_event(
@@ -303,7 +273,6 @@ def _log_login_payload_repaired(
         dropped_last_messages=dropped_last_messages,
         dropped_messages=dropped_messages,
         nulled_contacts=nulled_contacts,
-        filled_token_from_session=filled_token_from_session,
         validation_paths=validation_paths,
     )
 
@@ -328,10 +297,7 @@ async def mobile_login(self) -> LoginResponse:
             sync=sync,
         )
         response = await self.app.invoke(Opcode.LOGIN, frame.to_payload())
-        login_response = validate_login_response(
-            response.payload,
-            session_token=session.token,
-        )
+        login_response = validate_login_response(response.payload)
         await self._update_session(login_response)
         return login_response
 
@@ -346,9 +312,6 @@ async def web_login(self) -> LoginResponse:
             sync=sync,
         )
         response = await self.app.invoke(Opcode.LOGIN, frame.to_payload())
-        login_response = validate_login_response(
-            response.payload,
-            session_token=session.token,
-        )
+        login_response = validate_login_response(response.payload)
         await self._update_session(login_response)
         return login_response

tests/test_max_adapter_leaves.py

@@ -515,7 +515,7 @@ def test_pymax2_login_validation_repairs_noncritical_payload_drift():
     assert response.contacts == [None]
 
 
-def test_pymax2_login_validation_fills_missing_token_from_session():
+def test_pymax212_login_validation_allows_tokenless_response():
     from src.adapters.max.backends.pymax.login import validate_login_response
 
     response = validate_login_response(
@@ -524,11 +524,10 @@ def test_pymax2_login_validation_fills_missing_token_from_session():
             "chats": [],
             "messages": {},
             "contacts": [],
-        },
-        session_token="existing-session-token",
+        }
     )
 
-    assert response.token == "existing-session-token"
+    assert response.token is None
 
 
 def test_pymax2_login_validation_error_is_safe_and_classified():

tests/test_pymax_surface_pin.py

@@ -3,11 +3,16 @@
 import importlib
 
 import pytest
+import pymax
 
 
 pytestmark = pytest.mark.architecture
 
 
+def test_pymax_runtime_version_is_pinned():
+    assert pymax.__version__ == "2.1.2"
+
+
 PINS = {
     "pymax": ("Client", "ExtraConfig", "SyncOverrides", "File", "Message", "Photo", "Video"),
     "pymax.client": ("Client",),