Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

El panel del Gateway es la interfaz de control del navegador servida en / de forma predeterminada (se puede sobrescribir con gateway.controlUi.basePath). Apertura rápida (Gateway local): Referencias clave: La autenticación se aplica en el handshake de WebSocket mediante la ruta de autenticación del gateway configurada:
  • connect.params.auth.token
  • connect.params.auth.password
  • encabezados de identidad de Tailscale Serve cuando gateway.auth.allowTailscale: true
  • encabezados de identidad de proxy de confianza cuando gateway.auth.mode: "trusted-proxy"
Consulta gateway.auth en Configuración del Gateway. Nota de seguridad: la interfaz de control es una superficie de administración (chat, configuración, aprobaciones de ejecución). No la expongas públicamente. La interfaz mantiene los tokens de URL del panel en sessionStorage para la sesión actual de la pestaña del navegador y la URL de gateway seleccionada, y los elimina de la URL después de cargar. Prefiere localhost, Tailscale Serve o un túnel SSH.

Ruta rápida (recomendada)

  • Después de la incorporación, la CLI abre automáticamente el panel e imprime un enlace limpio (sin token).
  • Reabrir en cualquier momento: openclaw dashboard (copia el enlace, abre el navegador si es posible, muestra una sugerencia de SSH si no hay interfaz gráfica).
  • Si la entrega mediante portapapeles y navegador falla, openclaw dashboard todavía imprime la URL limpia y te indica que uses el token de OPENCLAW_GATEWAY_TOKEN o gateway.auth.token como la clave de fragmento de URL token; no imprime valores de token en los registros.
  • Si la interfaz solicita autenticación con secreto compartido, pega el token o la contraseña configurados en la configuración de la interfaz de control.

Conceptos básicos de autenticación (local vs remoto)

  • Localhost: abre http://127.0.0.1:18789/.
  • TLS de Gateway: cuando gateway.tls.enabled: true, los enlaces de panel/estado usan https:// y los enlaces de WebSocket de la interfaz de control usan wss://.
  • Fuente del token de secreto compartido: gateway.auth.token (o OPENCLAW_GATEWAY_TOKEN); openclaw dashboard puede pasarlo mediante un fragmento de URL para un arranque único, y la interfaz de control lo mantiene en sessionStorage para la sesión actual de la pestaña del navegador y la URL de gateway seleccionada, en lugar de localStorage.
  • Si gateway.auth.token está administrado por SecretRef, openclaw dashboard imprime/copia/abre una URL sin token por diseño. Esto evita exponer tokens administrados externamente en registros de shell, historial del portapapeles o argumentos de inicio del navegador.
  • Si gateway.auth.token está configurado como SecretRef y no está resuelto en tu shell actual, openclaw dashboard todavía imprime una URL sin token junto con orientación accionable para configurar la autenticación.
  • Contraseña de secreto compartido: usa la gateway.auth.password configurada (o OPENCLAW_GATEWAY_PASSWORD). El panel no conserva contraseñas entre recargas.
  • Modos con identidad: Tailscale Serve puede satisfacer la autenticación de la interfaz de control/WebSocket mediante encabezados de identidad cuando gateway.auth.allowTailscale: true, y un proxy inverso no loopback con reconocimiento de identidad puede satisfacer gateway.auth.mode: "trusted-proxy". En esos modos, el panel no necesita un secreto compartido pegado para el WebSocket.
  • No localhost: usa Tailscale Serve, un enlace no loopback con secreto compartido, un proxy inverso no loopback con reconocimiento de identidad con gateway.auth.mode: "trusted-proxy", o un túnel SSH. Las API HTTP aún usan autenticación con secreto compartido, salvo que ejecutes intencionalmente la entrada privada gateway.auth.mode: "none" o autenticación HTTP con proxy de confianza. Consulta Superficies web.

Si ves “unauthorized” / 1008

  • Asegúrate de que el gateway sea accesible (local: openclaw status; remoto: túnel SSH ssh -N -L 18789:127.0.0.1:18789 user@host y luego abre http://127.0.0.1:18789/).
  • Para AUTH_TOKEN_MISMATCH, los clientes pueden hacer un reintento de confianza con un token de dispositivo en caché cuando el gateway devuelve sugerencias de reintento. Ese reintento con token en caché reutiliza los ámbitos aprobados en caché del token; los llamadores con deviceToken explícito / scopes explícitos conservan su conjunto de ámbitos solicitado. Si la autenticación sigue fallando después de ese reintento, resuelve manualmente la desviación del token.
  • Para AUTH_SCOPE_MISMATCH, se reconoció el token de dispositivo, pero no incluye los ámbitos solicitados por el panel; vuelve a emparejar o aprueba el contrato de ámbitos solicitado en lugar de rotar el token compartido del Gateway.
  • Fuera de esa ruta de reintento, la precedencia de autenticación de conexión es primero token/contraseña compartidos explícitos, luego deviceToken explícito, luego token de dispositivo almacenado y luego token de arranque.
  • En la ruta asíncrona de la interfaz de control de Tailscale Serve, los intentos fallidos para el mismo {scope, ip} se serializan antes de que el limitador de autenticación fallida los registre, por lo que el segundo reintento incorrecto concurrente ya puede mostrar retry later.
  • Para pasos de reparación de desviación del token, sigue la lista de comprobación de recuperación de desviación del token.
  • Recupera o proporciona el secreto compartido desde el host del gateway:
    • Token: openclaw config get gateway.auth.token
    • Contraseña: resuelve la gateway.auth.password configurada o OPENCLAW_GATEWAY_PASSWORD
    • Token administrado por SecretRef: resuelve el proveedor de secretos externo o exporta OPENCLAW_GATEWAY_TOKEN en este shell, y luego vuelve a ejecutar openclaw dashboard
    • No hay secreto compartido configurado: openclaw doctor --generate-gateway-token
  • En la configuración del panel, pega el token o la contraseña en el campo de autenticación, y luego conecta.
  • El selector de idioma de la interfaz está en Resumen -> Acceso al Gateway -> Idioma. Forma parte de la tarjeta de acceso, no de la sección Apariencia.

Relacionado