Przejdź do głównej treści

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Gateway udostępnia mały przeglądarkowy Control UI (Vite + Lit) z tego samego portu co WebSocket Gateway:
  • domyślnie: http://<host>:18789/
  • z gateway.tls.enabled: true: https://<host>:18789/
  • opcjonalny prefiks: ustaw gateway.controlUi.basePath (np. /openclaw)
Możliwości opisano w Control UI. Pozostała część tej strony skupia się na trybach wiązania, bezpieczeństwie i powierzchniach dostępnych z sieci.

Webhooki

Gdy hooks.enabled=true, Gateway udostępnia także mały punkt końcowy webhooka na tym samym serwerze HTTP. Zobacz konfigurację Gatewayhooks, aby poznać uwierzytelnianie i ładunki.

Konfiguracja (domyślnie włączona)

Control UI jest domyślnie włączony, gdy zasoby są obecne (dist/control-ui). Możesz sterować nim przez konfigurację: 
{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath optional
  },
}

Dostęp przez Tailscale

Zintegrowane Serve (zalecane)

Pozostaw Gateway na loopback i pozwól Tailscale Serve pośredniczyć w dostępie: 
{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}
Następnie uruchom Gateway: 
openclaw gateway
Otwórz:
  • https://<magicdns>/ (lub skonfigurowany gateway.controlUi.basePath)

Wiązanie tailnet + token

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}
Następnie uruchom Gateway (ten przykład bez loopback używa uwierzytelniania tokenem współdzielonego sekretu): 
openclaw gateway
Otwórz:
  • http://<tailscale-ip>:18789/ (lub skonfigurowany gateway.controlUi.basePath)

Publiczny internet (Funnel)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // or OPENCLAW_GATEWAY_PASSWORD
  },
}

Uwagi dotyczące bezpieczeństwa

  • Uwierzytelnianie Gateway jest domyślnie wymagane (token, hasło, zaufany serwer proxy albo nagłówki tożsamości Tailscale Serve, gdy są włączone).
  • Wiązania bez loopback nadal wymagają uwierzytelniania Gateway. W praktyce oznacza to uwierzytelnianie tokenem/hasłem albo świadomy tożsamości zwrotny serwer proxy z gateway.auth.mode: "trusted-proxy".
  • Kreator domyślnie tworzy uwierzytelnianie współdzielonym sekretem i zwykle generuje token Gateway (nawet na loopback).
  • W trybie współdzielonego sekretu UI wysyła connect.params.auth.token albo connect.params.auth.password.
  • Gdy gateway.tls.enabled: true, lokalny pulpit i pomocnicze narzędzia statusu renderują adresy URL pulpitu https:// oraz adresy URL WebSocket wss://.
  • W trybach przenoszących tożsamość, takich jak Tailscale Serve albo trusted-proxy, kontrola uwierzytelniania WebSocket jest spełniana zamiast tego z nagłówków żądania.
  • W przypadku wdrożeń Control UI bez loopback ustaw jawnie gateway.controlUi.allowedOrigins (pełne źródła). Bez tego uruchomienie Gateway jest domyślnie odrzucane.
  • gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true włącza tryb awaryjnego pochodzenia na podstawie nagłówka Host, ale jest to niebezpieczne obniżenie poziomu bezpieczeństwa.
  • Z Serve nagłówki tożsamości Tailscale mogą spełnić uwierzytelnianie Control UI/WebSocket, gdy gateway.auth.allowTailscale ma wartość true (token/hasło nie są wymagane). Punkty końcowe HTTP API nie używają tych nagłówków tożsamości Tailscale; zamiast tego stosują normalny tryb uwierzytelniania HTTP Gateway. Ustaw gateway.auth.allowTailscale: false, aby wymagać jawnych poświadczeń. Zobacz Tailscale i Bezpieczeństwo. Ten przepływ bez tokena zakłada, że host Gateway jest zaufany.
  • gateway.tailscale.mode: "funnel" wymaga gateway.auth.mode: "password" (współdzielone hasło).

Budowanie UI

Gateway udostępnia pliki statyczne z dist/control-ui. Zbuduj je poleceniem: 
pnpm ui:build