Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Das Gateway-Dashboard ist die browserbasierte Steuerungs-UI, die standardmäßig unter / bereitgestellt wird (überschreibbar mit gateway.controlUi.basePath). Schnell öffnen (lokales Gateway): Wichtige Referenzen: Die Authentifizierung wird beim WebSocket-Handshake über den konfigurierten Gateway- Authentifizierungspfad erzwungen:
  • connect.params.auth.token
  • connect.params.auth.password
  • Tailscale Serve-Identitätsheader, wenn gateway.auth.allowTailscale: true
  • Identitätsheader eines vertrauenswürdigen Proxys, wenn gateway.auth.mode: "trusted-proxy"
Siehe gateway.auth in der Gateway-Konfiguration. Sicherheitshinweis: Die Steuerungs-UI ist eine Administrationsoberfläche (Chat, Konfiguration, Ausführungsgenehmigungen). Setzen Sie sie nicht öffentlich frei. Die UI speichert Dashboard-URL-Token in sessionStorage für die aktuelle Browser-Tab-Sitzung und die ausgewählte Gateway-URL und entfernt sie nach dem Laden aus der URL. Bevorzugen Sie localhost, Tailscale Serve oder einen SSH-Tunnel.

Schneller Weg (empfohlen)

  • Nach dem Onboarding öffnet die CLI das Dashboard automatisch und gibt einen sauberen (nicht tokenisierten) Link aus.
  • Jederzeit erneut öffnen: openclaw dashboard (kopiert den Link, öffnet nach Möglichkeit den Browser, zeigt bei Headless-Umgebungen einen SSH-Hinweis).
  • Wenn Zwischenablage und Browser-Übergabe fehlschlagen, gibt openclaw dashboard dennoch die saubere URL aus und weist Sie an, das Token aus OPENCLAW_GATEWAY_TOKEN oder gateway.auth.token als URL-Fragment-Schlüssel token zu verwenden; Token- Werte werden nicht in Logs ausgegeben.
  • Wenn die UI zur Shared-Secret-Authentifizierung auffordert, fügen Sie das konfigurierte Token oder Passwort in die Einstellungen der Steuerungs-UI ein.

Authentifizierungsgrundlagen (lokal und remote)

  • Localhost: Öffnen Sie http://127.0.0.1:18789/.
  • Gateway-TLS: Wenn gateway.tls.enabled: true, verwenden Dashboard-/Statuslinks https:// und WebSocket-Links der Steuerungs-UI wss://.
  • Shared-Secret-Token-Quelle: gateway.auth.token (oder OPENCLAW_GATEWAY_TOKEN); openclaw dashboard kann es für das einmalige Bootstrap über ein URL-Fragment übergeben, und die Steuerungs-UI speichert es in sessionStorage für die aktuelle Browser-Tab-Sitzung und die ausgewählte Gateway-URL statt in localStorage.
  • Wenn gateway.auth.token über SecretRef verwaltet wird, gibt openclaw dashboard absichtlich eine nicht tokenisierte URL aus, kopiert sie oder öffnet sie. Dadurch wird vermieden, extern verwaltete Token in Shell-Logs, Zwischenablageverläufen oder Browser-Startargumenten offenzulegen.
  • Wenn gateway.auth.token als SecretRef konfiguriert ist und in Ihrer aktuellen Shell nicht aufgelöst ist, gibt openclaw dashboard dennoch eine nicht tokenisierte URL plus umsetzbare Hinweise zur Authentifizierungseinrichtung aus.
  • Shared-Secret-Passwort: Verwenden Sie das konfigurierte gateway.auth.password (oder OPENCLAW_GATEWAY_PASSWORD). Das Dashboard speichert Passwörter nicht über Neuladevorgänge hinweg.
  • Modi mit Identität: Tailscale Serve kann die Authentifizierung der Steuerungs-UI/des WebSocket über Identitätsheader erfüllen, wenn gateway.auth.allowTailscale: true, und ein nicht an Loopback gebundener identitätsbewusster Reverse-Proxy kann gateway.auth.mode: "trusted-proxy" erfüllen. In diesen Modi benötigt das Dashboard kein eingefügtes Shared Secret für den WebSocket.
  • Nicht localhost: Verwenden Sie Tailscale Serve, eine nicht an Loopback gebundene Shared-Secret-Bindung, einen nicht an Loopback gebundenen identitätsbewussten Reverse-Proxy mit gateway.auth.mode: "trusted-proxy" oder einen SSH-Tunnel. HTTP-APIs verwenden weiterhin Shared-Secret-Authentifizierung, sofern Sie nicht bewusst gateway.auth.mode: "none" für private Ingress-Umgebungen oder trusted-proxy-HTTP-Authentifizierung ausführen. Siehe Web-Oberflächen.

Wenn Sie “unauthorized” / 1008 sehen

  • Stellen Sie sicher, dass das Gateway erreichbar ist (lokal: openclaw status; remote: SSH-Tunnel ssh -N -L 18789:127.0.0.1:18789 user@host, dann http://127.0.0.1:18789/ öffnen).
  • Bei AUTH_TOKEN_MISMATCH können Clients einen vertrauenswürdigen Wiederholungsversuch mit einem zwischengespeicherten Gerätetoken durchführen, wenn das Gateway Wiederholungshinweise zurückgibt. Dieser Wiederholungsversuch mit zwischengespeichertem Token verwendet die zwischengespeicherten genehmigten Scopes des Tokens erneut; Aufrufer mit explizitem deviceToken / expliziten scopes behalten ihre angeforderte Scope-Menge. Wenn die Authentifizierung danach weiterhin fehlschlägt, beheben Sie die Token-Abweichung manuell.
  • Bei AUTH_SCOPE_MISMATCH wurde das Gerätetoken erkannt, enthält aber nicht die vom Dashboard angeforderten Scopes; koppeln Sie erneut oder genehmigen Sie den angeforderten Scope-Vertrag, statt das gemeinsame Gateway-Token zu rotieren.
  • Außerhalb dieses Wiederholungspfads gilt für die Verbindungs-Authentifizierung diese Reihenfolge: explizites Shared Token/Passwort zuerst, dann explizites deviceToken, dann gespeichertes Gerätetoken, dann Bootstrap-Token.
  • Im asynchronen Tailscale Serve-Pfad der Steuerungs-UI werden fehlgeschlagene Versuche für denselben {scope, ip} serialisiert, bevor der Limiter für fehlgeschlagene Authentifizierung sie erfasst, sodass der zweite gleichzeitig fehlerhafte Wiederholungsversuch bereits retry later anzeigen kann.
  • Für Schritte zur Behebung von Token-Abweichungen folgen Sie der Checkliste zur Wiederherstellung bei Token-Abweichung.
  • Rufen Sie das Shared Secret vom Gateway-Host ab oder stellen Sie es dort bereit:
    • Token: openclaw config get gateway.auth.token
    • Passwort: Lösen Sie das konfigurierte gateway.auth.password oder OPENCLAW_GATEWAY_PASSWORD auf
    • SecretRef-verwaltetes Token: Lösen Sie den externen Secret-Provider auf oder exportieren Sie OPENCLAW_GATEWAY_TOKEN in dieser Shell und führen Sie dann openclaw dashboard erneut aus
    • Kein Shared Secret konfiguriert: openclaw doctor --generate-gateway-token
  • Fügen Sie in den Dashboard-Einstellungen das Token oder Passwort in das Authentifizierungsfeld ein, und verbinden Sie sich dann.
  • Die UI-Sprachauswahl befindet sich unter Übersicht -> Gateway-Zugriff -> Sprache. Sie ist Teil der Zugriffskarte, nicht des Bereichs Darstellung.

Verwandt