---
read_when:
    - Отладка аутентификации модели или истечения срока действия OAuth
    - Документирование аутентификации или хранения учетных данных
summary: 'Аутентификация моделей: OAuth, API-ключи, повторное использование Claude CLI и setup-token Anthropic'
title: Аутентификация
x-i18n:
    generated_at: "2026-06-28T22:54:33Z"
    model: gpt-5.5
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: 4b33eff2386ba48797c96b99f3eb80df4df2d5baab9c42b73fc8e5e722f0767b
    source_path: gateway/authentication.md
    workflow: 16
---

<Note>
Эта страница — справочник по аутентификации **поставщиков моделей** (ключи API, OAuth, повторное использование Claude CLI и setup-token Anthropic). Об аутентификации **подключения к Gateway** (токен, пароль, trusted-proxy) см. [Конфигурация](/ru/gateway/configuration) и [Доверенная прокси-аутентификация](/ru/gateway/trusted-proxy-auth).
</Note>

OpenClaw поддерживает OAuth и ключи API для поставщиков моделей. Для постоянно работающих хостов Gateway
ключи API обычно являются самым предсказуемым вариантом. Потоки подписки/OAuth
также поддерживаются, когда они соответствуют модели учетной записи вашего поставщика.

Полный поток OAuth и схему хранения см. в [/concepts/oauth](/ru/concepts/oauth).
Для аутентификации на основе SecretRef (поставщики `env`/`file`/`exec`) см. [Управление секретами](/ru/gateway/secrets).
Правила пригодности учетных данных и reason-code, используемые `models status --probe`, см. в
[Семантика учетных данных аутентификации](/ru/auth-credential-semantics).

## Рекомендуемая настройка (ключ API, любой поставщик)

Если вы запускаете долгоживущий Gateway, начните с ключа API для выбранного
поставщика.
Конкретно для Anthropic аутентификация по ключу API по-прежнему остается самым предсказуемым серверным
вариантом, но OpenClaw также поддерживает повторное использование локального входа Claude CLI.

1. Создайте ключ API в консоли вашего поставщика.
2. Разместите его на **хосте Gateway** (машине, где выполняется `openclaw gateway`).

```bash
export <PROVIDER>_API_KEY="..."
openclaw models status
```

3. Если Gateway работает под systemd/launchd, предпочтительно поместить ключ в
   `~/.openclaw/.env`, чтобы демон мог его прочитать:

```bash
cat >> ~/.openclaw/.env <<'EOF'
<PROVIDER>_API_KEY=...
EOF
```

Затем перезапустите демон (или процесс Gateway) и проверьте снова:

```bash
openclaw models status
openclaw doctor
```

Если вы не хотите самостоятельно управлять переменными окружения, onboarding может сохранить
ключи API для использования демоном: `openclaw onboard`.

Подробности о наследовании окружения (`env.shellEnv`,
`~/.openclaw/.env`, systemd/launchd) см. в [Справке](/ru/help).

## Anthropic: совместимость Claude CLI и токенов

Аутентификация Anthropic setup-token по-прежнему доступна в OpenClaw как поддерживаемый
путь токена. Сотрудники Anthropic с тех пор сообщили нам, что использование Claude CLI в стиле OpenClaw
снова разрешено, поэтому OpenClaw считает повторное использование Claude CLI и использование `claude -p`
санкционированными для этой интеграции, если Anthropic не опубликует новую политику. Когда
повторное использование Claude CLI доступно на хосте, теперь это предпочтительный путь.

Для долгоживущих хостов Gateway ключ API Anthropic по-прежнему является самым предсказуемым
вариантом. Если вы хотите повторно использовать существующий вход Claude на том же хосте, используйте
путь Anthropic Claude CLI в onboarding/configure.

Рекомендуемая настройка хоста для повторного использования Claude CLI:

```bash
# Run on the gateway host
claude auth login
claude auth status --text
openclaw models auth login --provider anthropic --method cli --set-default
```

Это двухэтапная настройка:

1. Войдите в Anthropic через сам Claude Code на хосте Gateway.
2. Укажите OpenClaw переключить выбор моделей Anthropic на локальный backend `claude-cli`
   и сохранить соответствующий профиль аутентификации OpenClaw.

Если `claude` отсутствует в `PATH`, сначала установите Claude Code или задайте
`agents.defaults.cliBackends.claude-cli.command` как реальный путь к бинарному файлу.

Ручной ввод токена (любой поставщик; записывает хранилище аутентификации SQLite для агента и обновляет конфигурацию):

```bash
openclaw models auth paste-token --provider openrouter
```

Хранилище профилей аутентификации содержит только учетные данные. Устаревшие файлы `auth-profiles.json` использовали такую каноническую форму:

```json
{
  "version": 1,
  "profiles": {
    "openrouter:default": {
      "type": "api_key",
      "provider": "openrouter",
      "key": "OPENROUTER_API_KEY"
    }
  }
}
```

OpenClaw теперь читает профили аутентификации из `openclaw-agent.sqlite` каждого агента. Если в более старой установке все еще есть `auth-profiles.json`, `auth-state.json` или плоский файл профиля аутентификации, например `{ "openrouter": { "apiKey": "..." } }`, выполните `openclaw doctor --fix`, чтобы импортировать его в SQLite; doctor сохраняет резервные копии с отметкой времени рядом с исходными JSON-файлами. Сведения об endpoint, такие как `baseUrl`, `api`, идентификаторы моделей, заголовки и тайм-ауты, должны находиться в `models.providers.<id>` в `openclaw.json` или `models.json`, а не в профилях аутентификации.

Внешние маршруты аутентификации, такие как Bedrock `auth: "aws-sdk"`, также не являются учетными данными. Если вам нужен именованный маршрут Bedrock, поместите `auth.profiles.<id>.mode: "aws-sdk"` в `openclaw.json`; не записывайте `type: "aws-sdk"` в хранилище профилей аутентификации. `openclaw doctor --fix` переносит устаревшие маркеры AWS SDK из хранилища учетных данных в метаданные конфигурации.

Ссылки на профили аутентификации также поддерживаются для статических учетных данных:

- Учетные данные `api_key` могут использовать `keyRef: { source, provider, id }`
- Учетные данные `token` могут использовать `tokenRef: { source, provider, id }`
- Профили в режиме OAuth не поддерживают учетные данные SecretRef; если `auth.profiles.<id>.mode` задан как `"oauth"`, ввод `keyRef`/`tokenRef` на базе SecretRef для этого профиля отклоняется.

Проверка, удобная для автоматизации (код выхода `1`, если срок истек или отсутствует, `2`, если скоро истечет):

```bash
openclaw models status --check
```

Live-проверки аутентификации:

```bash
openclaw models status --probe
```

Примечания:

- Строки проверки могут поступать из профилей аутентификации, учетных данных окружения или `models.json`.
- Если явный `auth.order.<provider>` пропускает сохраненный профиль, проверка сообщает
  `excluded_by_auth_order` для этого профиля, а не пытается его использовать.
- Если аутентификация существует, но OpenClaw не может определить проверяемого кандидата модели для
  этого поставщика, проверка сообщает `status: no_model`.
- Cooldown для rate-limit может быть привязан к модели. Профиль, находящийся в cooldown для одной
  модели, все еще может быть пригоден для родственной модели у того же поставщика.

Необязательные операционные скрипты (systemd/Termux) задокументированы здесь:
[Скрипты мониторинга аутентификации](/ru/help/scripts#auth-monitoring-scripts)

## Примечание Anthropic

Backend Anthropic `claude-cli` снова поддерживается.

- Сотрудники Anthropic сообщили нам, что этот путь интеграции OpenClaw снова разрешен.
- Поэтому OpenClaw считает повторное использование Claude CLI и использование `claude -p` санкционированными
  для запусков на базе Anthropic, если Anthropic не опубликует новую политику.
- Ключи API Anthropic остаются самым предсказуемым выбором для долгоживущих хостов Gateway
  и явного контроля серверного биллинга.

## Проверка статуса аутентификации модели

```bash
openclaw models status
openclaw doctor
```

## Поведение ротации ключей API (Gateway)

Некоторые поставщики поддерживают повтор запроса с альтернативными ключами, когда вызов API
упирается в rate limit поставщика.

- Порядок приоритета:
  - `OPENCLAW_LIVE_<PROVIDER>_KEY` (одиночное переопределение)
  - `<PROVIDER>_API_KEYS`
  - `<PROVIDER>_API_KEY`
  - `<PROVIDER>_API_KEY_*`
- Поставщики Google также включают `GOOGLE_API_KEY` как дополнительный fallback.
- Один и тот же список ключей дедуплицируется перед использованием.
- OpenClaw повторяет попытку со следующим ключом только при ошибках rate-limit (например
  `429`, `rate_limit`, `quota`, `resource exhausted`, `Too many concurrent
requests`, `ThrottlingException`, `concurrency limit reached` или
  `workers_ai ... quota limit exceeded`).
- Ошибки, не связанные с rate-limit, не повторяются с альтернативными ключами.
- Если все ключи завершаются ошибкой, возвращается итоговая ошибка последней попытки.

## Удаление аутентификации поставщика во время работы Gateway

Когда аутентификация поставщика удаляется через плоскость управления Gateway, OpenClaw удаляет
сохраненные профили аутентификации для этого поставщика и прерывает активные чаты или запуски агентов,
у которых выбранный поставщик модели совпадает с удаленным поставщиком. Прерванные запуски генерируют
обычные события отмены чата и жизненного цикла с
`stopReason: "auth-revoked"`, чтобы подключенные клиенты могли показать, что запуск был
остановлен из-за удаления учетных данных.

Удаление сохраненной аутентификации не отзывает ключи у поставщика. Ротируйте или отзывайте
ключ в панели поставщика, когда требуется инвалидация на стороне поставщика.

## Управление тем, какие учетные данные используются

### OpenAI и устаревшие идентификаторы `openai-codex`

Профили ключей API OpenAI и профили OAuth ChatGPT/Codex используют канонический
идентификатор поставщика `openai`. Новая конфигурация должна использовать идентификаторы профилей `openai:*` и
`auth.order.openai`.

Если вы видите `openai-codex` в старой конфигурации, идентификаторах профилей аутентификации или
`auth.order.openai-codex`, считайте это устаревшим входом миграции. Не создавайте новые
профили `openai-codex`. Выполните:

```bash
openclaw doctor --fix
openclaw models auth list --provider openai
```

Doctor переписывает устаревшие идентификаторы профилей `openai-codex:*` и записи
`auth.order.openai-codex` на канонический маршрут аутентификации `openai`. О маршрутизации
моделей/runtime, специфичной для OpenAI, см. [OpenAI](/ru/providers/openai).

### Во время входа (CLI)

Используйте `openclaw models auth login --provider <id> --profile-id <profileId>` для
поставщиков, поддерживающих именованные профили аутентификации во время входа.

```bash
openclaw models auth login --provider openai --profile-id openai:ritsuko
openclaw models auth login --provider openai --profile-id openai:lain
```

Это самый простой способ держать несколько входов OAuth для одного поставщика
раздельно внутри одного агента.

Используйте `--force`, когда сохраненный профиль поставщика завис, истек или привязан к
неправильной учетной записи, а обычная команда входа продолжает использовать его повторно. `--force` удаляет
сохраненные профили аутентификации для этого поставщика в выбранном каталоге агента, затем
снова запускает тот же поток аутентификации поставщика. Это не отзывает учетные данные у
поставщика; ротируйте или отзывайте их в панели поставщика, когда требуется
инвалидация на стороне поставщика.

```bash
openclaw models auth login --provider anthropic --force
```

### Для сеанса (команда чата)

Используйте `/model <alias-or-id>@<profileId>`, чтобы закрепить конкретные учетные данные поставщика для текущего сеанса (примеры идентификаторов профилей: `anthropic:default`, `anthropic:work`).

Используйте `/model` (или `/model list`) для компактного выбора; используйте `/model status` для полного представления (кандидаты + следующий профиль аутентификации, а также сведения об endpoint поставщика, если настроены).

### Для агента (переопределение CLI)

Задайте явное переопределение порядка профилей аутентификации для агента (сохраняется в SQLite-состоянии аутентификации этого агента):

```bash
openclaw models auth order get --provider anthropic
openclaw models auth order set --provider anthropic anthropic:default
openclaw models auth order clear --provider anthropic
```

Используйте `--agent <id>`, чтобы выбрать конкретного агента; не указывайте его, чтобы использовать настроенного агента по умолчанию.
При отладке проблем порядка `openclaw models status --probe` показывает пропущенные
сохраненные профили как `excluded_by_auth_order`, а не молча пропускает их.
При отладке проблем cooldown помните, что cooldown rate-limit может быть привязан
к одному идентификатору модели, а не ко всему профилю поставщика.

Если вы изменяете порядок аутентификации или закрепление профиля для уже запущенного чата,
отправьте `/new` или `/reset` в этом чате, чтобы начать новый сеанс. Существующие
сеансы могут сохранять текущий выбор модели/профиля до сброса.

## Устранение неполадок

### "Учетные данные не найдены"

Если профиль Anthropic отсутствует, настройте ключ API Anthropic на
**хосте Gateway** или настройте путь Anthropic setup-token, затем проверьте снова:

```bash
openclaw models status
```

### Токен скоро истекает/истек

Выполните `openclaw models status`, чтобы подтвердить, срок какого профиля истекает. Если
профиль токена Anthropic отсутствует или истек, обновите эту настройку через
setup-token или перейдите на ключ API Anthropic.

## Связанные материалы

- [Управление секретами](/ru/gateway/secrets)
- [Удаленный доступ](/ru/gateway/remote)
- [Хранилище аутентификации](/ru/concepts/oauth)