whoop-morning

whoop-morning 是一款专为 WHOOP 可穿戴设备用户设计的晨间健康数据检查工具。该技能通过标准的 OAuth2 认证流程连接 WHOOP API，每日自动获取用户的恢复指数（Recovery）、睡眠质量（Sleep）和循环压力（Cycle/Strain）等核心生理指标，并基于这些数据生成简洁的每日行动建议，帮助用户科学规划训练强度与休息安排。

核心用法上，用户需首先配置 WHOOP_CLIENT_ID 和 WHOOP_CLIENT_SECRET 环境变量，通过内置的 whoop-auth 脚本完成一次性授权获取 refresh token。随后，whoop-morning 脚本即可定期运行，自动刷新 token 并拉取最新健康数据。推荐通过 Gateway cron 设置每日早晨定时执行，实现自动化健康报告推送。

该技能的显著优点在于其出色的代码安全性与架构简洁性。代码仅依赖 Node.js 内置模块（fs, path），无任何外部 npm 依赖，极大降低了供应链攻击风险。Token 管理严格遵循 OAuth2 标准流程，敏感凭证仅存储在用户本地目录（~/.cache/whoop-morning/），无静默上传或远程收集行为。此外，功能描述透明清晰，安全相关行为均有明确告知。

然而，该技能也存在一定局限性。首先，来源为 GitHub 个人开发者（T3 级别），虽代码质量良好但非官方 WHOOP 或知名开源组织维护。其次，代码中 JSON.parse 缺乏前置输入验证，尽管有 try-catch 错误处理，仍存在潜在的解析异常风险。此外，技能完全依赖 WHOOP API 的稳定性，若 WHOOP 调整接口或认证策略，可能导致功能中断。用户还需注意 WHOOP 会轮换 refresh token，应避免多实例并行刷新导致认证失效。

适合使用该技能的目标群体包括：WHOOP 可穿戴设备活跃用户、量化自我（Quantified Self）爱好者、需要基于生理数据调整训练计划的健身人群，以及希望实现晨间健康数据自动化的效率工具用户。

使用风险方面，除前述的 API 依赖与 Token 轮换机制外，该技能主要执行本地文件操作，无系统破坏性风险。但用户需妥善保管 OAuth 凭证，避免 refresh token 泄露导致账号安全风险。建议在受信任的本地或私有环境中运行，定期检查 WHOOP API 的变更日志以确保兼容性。