openclaw devices
Керуйте запитами на сполучення пристроїв і токенами з областю дії пристрою.
Команди
openclaw devices list
Показати список очікуваних запитів на сполучення та сполучених пристроїв.
openclaw devices remove <deviceId>
Видалити один запис сполученого пристрою.
Якщо ви автентифіковані за допомогою токена сполученого пристрою, виклики від неадміністратора можуть видаляти лише власний запис пристрою. Для видалення іншого пристрою потрібен operator.admin.
openclaw devices clear --yes [--pending]
Масово очистити сполучені пристрої.
openclaw devices approve [requestId] [--latest]
Схвалити очікуваний запит на сполучення пристрою за точним requestId. Якщо requestId не вказано або передано --latest, OpenClaw лише показує вибраний очікуваний запит і завершує роботу; після перевірки деталей повторно запустіть схвалення з точним ідентифікатором запиту.
Примітка: якщо пристрій повторює спробу сполучення зі зміненими даними автентифікації (роль/області дії/публічний ключ), OpenClaw замінює попередній очікуваний запис і видає новий requestId. Запускайте openclaw devices list безпосередньо перед схваленням, щоб використати поточний ідентифікатор.
Якщо пристрій уже сполучений і запитує ширші області дії або ширшу роль, OpenClaw зберігає наявне схвалення та створює новий очікуваний запит на оновлення. Перегляньте стовпці Requested і Approved у openclaw devices list або скористайтеся openclaw devices approve --latest, щоб попередньо переглянути точне оновлення перед його схваленням.
openclaw devices reject <requestId>
Відхилити очікуваний запит на сполучення пристрою.
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
Ротувати токен пристрою для конкретної ролі (необов’язково оновивши області дії).
Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою; ротація не може випустити нову несхвалену роль.
Якщо не вказати --scope, пізніші повторні підключення зі збереженим ротованим токеном повторно використовуватимуть кешовані схвалені області дії цього токена. Якщо передати явні значення --scope, вони стануть збереженим набором областей дії для майбутніх повторних підключень із кешованим токеном.
Виклики від неадміністратора зі сполученого пристрою можуть ротувати лише власний токен пристрою.
Крім того, будь-які явні значення --scope мають залишатися в межах власних операторських областей дії сеансу викликача; ротація не може випустити ширший операторський токен, ніж той, який викликач уже має.
openclaw devices revoke --device <id> --role <role>
Відкликати токен пристрою для конкретної ролі.
Виклики від неадміністратора зі сполученого пристрою можуть відкликати лише власний токен пристрою.
Для відкликання токена іншого пристрою потрібен operator.admin.
Поширені параметри
--url <url>: URL WebSocket Gateway (за замовчуванням використовуєтьсяgateway.remote.url, якщо налаштовано).--token <token>: токен Gateway (якщо потрібен).--password <password>: пароль Gateway (автентифікація паролем).--timeout <ms>: тайм-аут RPC.--json: вивід JSON (рекомендовано для скриптів).
--url, CLI не повертається до облікових даних із конфігурації або змінних середовища.
Передайте --token або --password явно. Відсутність явно переданих облікових даних є помилкою.
Примітки
- Ротація токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
- Для цих команд потрібна область дії
operator.pairing(абоoperator.admin). - Ротація токена залишається в межах схваленого набору ролей сполучення та базового рівня схвалених областей дії для цього пристрою. Випадковий запис кешованого токена не надає нової цілі для ротації.
- Для сеансів токенів сполученого пристрою керування іншими пристроями доступне лише адміністратору:
remove,rotateіrevokeдозволені лише для власного пристрою, якщо викликач не маєoperator.admin. devices clearнавмисно захищено прапорцем--yes.- Якщо область дії сполучення недоступна на local loopback (і явний
--urlне передано),list/approveможуть використовувати локальний резервний механізм сполучення. devices approveвимагає явного ідентифікатора запиту перед випуском токенів; якщо не вказатиrequestIdабо передати--latest, буде лише показано найновіший очікуваний запит.
Контрольний список відновлення при розсинхронізації токена
Використовуйте це, коли Control UI або інші клієнти постійно завершуються помилкоюAUTH_TOKEN_MISMATCH або AUTH_DEVICE_TOKEN_MISMATCH.
- Підтвердьте поточне джерело токена gateway:
- Перелічіть сполучені пристрої та визначте ідентифікатор проблемного пристрою:
- Ротуйте операторський токен для проблемного пристрою:
- Якщо ротації недостатньо, видаліть застаріле сполучення і схваліть знову:
- Повторіть спробу підключення клієнта з поточним спільним токеном/паролем.
- Звичайний пріоритет автентифікації під час повторного підключення: спочатку явний спільний токен/пароль, потім явний
deviceToken, потім збережений токен пристрою, потім bootstrap-токен. - Довірене відновлення після
AUTH_TOKEN_MISMATCHможе тимчасово надіслати і спільний токен, і збережений токен пристрою разом для однієї обмеженої повторної спроби.