Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Le tableau de bord du Gateway est l’interface de contrôle dans le navigateur servie sur / par défaut (remplacez avec gateway.controlUi.basePath). Ouverture rapide (Gateway local) : Références clés : L’authentification est appliquée lors de la négociation WebSocket via le chemin d’authentification du Gateway configuré :
  • connect.params.auth.token
  • connect.params.auth.password
  • les en-têtes d’identité Tailscale Serve lorsque gateway.auth.allowTailscale: true
  • les en-têtes d’identité de proxy de confiance lorsque gateway.auth.mode: "trusted-proxy"
Voir gateway.auth dans Configuration du Gateway. Note de sécurité : l’interface de contrôle est une surface d’administration (chat, configuration, approbations d’exécution). Ne l’exposez pas publiquement. L’interface conserve les jetons d’URL du tableau de bord dans sessionStorage pour la session de l’onglet de navigateur actuel et l’URL de Gateway sélectionnée, puis les supprime de l’URL après le chargement. Préférez localhost, Tailscale Serve ou un tunnel SSH.

Parcours rapide (recommandé)

  • Après l’intégration, la CLI ouvre automatiquement le tableau de bord et affiche un lien propre (sans jeton).
  • Rouvrez-le à tout moment : openclaw dashboard (copie le lien, ouvre le navigateur si possible, affiche une indication SSH en environnement sans interface graphique).
  • Si le presse-papiers et l’ouverture du navigateur échouent, openclaw dashboard affiche quand même l’URL propre et vous indique d’utiliser le jeton depuis OPENCLAW_GATEWAY_TOKEN ou gateway.auth.token comme clé de fragment d’URL token; il n’affiche pas les valeurs de jeton dans les journaux.
  • Si l’interface vous demande une authentification par secret partagé, collez le jeton ou le mot de passe configuré dans les paramètres de l’interface de contrôle.

Bases de l’authentification (local ou distant)

  • Localhost : ouvrez http://127.0.0.1:18789/.
  • TLS du Gateway : lorsque gateway.tls.enabled: true, les liens de tableau de bord/statut utilisent https:// et les liens WebSocket de l’interface de contrôle utilisent wss://.
  • Source du jeton de secret partagé : gateway.auth.token (ou OPENCLAW_GATEWAY_TOKEN); openclaw dashboard peut le transmettre via un fragment d’URL pour un amorçage unique, et l’interface de contrôle le conserve dans sessionStorage pour la session de l’onglet de navigateur actuel et l’URL de Gateway sélectionnée au lieu de localStorage.
  • Si gateway.auth.token est géré par SecretRef, openclaw dashboard affiche/copie/ouvre volontairement une URL sans jeton. Cela évite d’exposer les jetons gérés en externe dans les journaux du shell, l’historique du presse-papiers ou les arguments de lancement du navigateur.
  • Si gateway.auth.token est configuré comme SecretRef et n’est pas résolu dans votre shell actuel, openclaw dashboard affiche quand même une URL sans jeton ainsi que des conseils pratiques de configuration de l’authentification.
  • Mot de passe de secret partagé : utilisez le gateway.auth.password configuré (ou OPENCLAW_GATEWAY_PASSWORD). Le tableau de bord ne conserve pas les mots de passe entre les rechargements.
  • Modes avec identité : Tailscale Serve peut satisfaire l’authentification de l’interface de contrôle/WebSocket via des en-têtes d’identité lorsque gateway.auth.allowTailscale: true, et un proxy inverse non local loopback tenant compte de l’identité peut satisfaire gateway.auth.mode: "trusted-proxy". Dans ces modes, le tableau de bord n’a pas besoin d’un secret partagé collé pour le WebSocket.
  • Pas localhost : utilisez Tailscale Serve, une liaison non local loopback avec secret partagé, un proxy inverse non local loopback tenant compte de l’identité avec gateway.auth.mode: "trusted-proxy", ou un tunnel SSH. Les API HTTP utilisent toujours l’authentification par secret partagé sauf si vous exécutez intentionnellement gateway.auth.mode: "none" en entrée privée ou l’authentification HTTP trusted-proxy. Voir Surfaces Web.

Si vous voyez “unauthorized” / 1008

  • Assurez-vous que le Gateway est joignable (local : openclaw status; distant : tunnel SSH ssh -N -L 18789:127.0.0.1:18789 user@host, puis ouvrez http://127.0.0.1:18789/).
  • Pour AUTH_TOKEN_MISMATCH, les clients peuvent effectuer une nouvelle tentative de confiance avec un jeton d’appareil mis en cache lorsque le Gateway renvoie des indications de nouvelle tentative. Cette nouvelle tentative avec jeton mis en cache réutilise les portées approuvées mises en cache du jeton; les appelants avec deviceToken explicite / scopes explicites conservent l’ensemble de portées demandé. Si l’authentification échoue encore après cette tentative, corrigez manuellement la dérive de jeton.
  • Pour AUTH_SCOPE_MISMATCH, le jeton d’appareil a été reconnu mais ne porte pas les portées demandées par le tableau de bord; réassociez l’appareil ou approuvez le contrat de portée demandé au lieu de faire tourner le jeton partagé du Gateway.
  • En dehors de ce chemin de nouvelle tentative, la priorité de l’authentification de connexion est d’abord le jeton/mot de passe partagé explicite, puis le deviceToken explicite, puis le jeton d’appareil stocké, puis le jeton d’amorçage.
  • Sur le chemin asynchrone de l’interface de contrôle Tailscale Serve, les tentatives échouées pour le même {scope, ip} sont sérialisées avant que le limiteur d’authentification échouée les enregistre, de sorte que la deuxième mauvaise tentative concurrente peut déjà afficher retry later.
  • Pour les étapes de correction de dérive de jeton, suivez la Liste de contrôle de récupération après dérive de jeton.
  • Récupérez ou fournissez le secret partagé depuis l’hôte du Gateway :
    • Jeton : openclaw config get gateway.auth.token
    • Mot de passe : résolvez le gateway.auth.password configuré ou OPENCLAW_GATEWAY_PASSWORD
    • Jeton géré par SecretRef : résolvez le fournisseur de secret externe ou exportez OPENCLAW_GATEWAY_TOKEN dans ce shell, puis relancez openclaw dashboard
    • Aucun secret partagé configuré : openclaw doctor --generate-gateway-token
  • Dans les paramètres du tableau de bord, collez le jeton ou le mot de passe dans le champ d’authentification, puis connectez-vous.
  • Le sélecteur de langue de l’interface se trouve dans Vue d’ensemble -> Accès au Gateway -> Langue. Il fait partie de la carte d’accès, pas de la section Apparence.

Connexe