Перейти до основного вмісту

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Інформаційна панель Gateway — це браузерний інтерфейс керування, який за замовчуванням обслуговується за адресою / (можна перевизначити через gateway.controlUi.basePath). Швидке відкриття (локальний Gateway): Ключові посилання: Автентифікація застосовується під час WebSocket handshake через налаштований шлях автентифікації gateway:
  • connect.params.auth.token
  • connect.params.auth.password
  • заголовки ідентичності Tailscale Serve, коли gateway.auth.allowTailscale: true
  • заголовки ідентичності trusted-proxy, коли gateway.auth.mode: "trusted-proxy"
Див. gateway.auth у конфігурації Gateway. Примітка щодо безпеки: інтерфейс керування є адміністративною поверхнею (чат, конфігурація, схвалення виконання). Не відкривайте його для публічного доступу. UI зберігає токени URL інформаційної панелі в sessionStorage для поточної сесії вкладки браузера та вибраної URL-адреси gateway, а після завантаження видаляє їх з URL. Віддавайте перевагу localhost, Tailscale Serve або SSH-тунелю.

Швидкий шлях (рекомендовано)

  • Після початкового налаштування CLI автоматично відкриває інформаційну панель і виводить чисте посилання (без токена).
  • Відкрити повторно будь-коли: openclaw dashboard (копіює посилання, відкриває браузер, якщо можливо, показує підказку SSH у headless-режимі).
  • Якщо доставлення через буфер обміну та браузер не вдалося, openclaw dashboard все одно виводить чистий URL і повідомляє використати токен з OPENCLAW_GATEWAY_TOKEN або gateway.auth.token як ключ фрагмента URL token; значення токенів у журнали не виводяться.
  • Якщо UI запитує автентифікацію за спільним секретом, вставте налаштований токен або пароль у налаштування інтерфейсу керування.

Основи автентифікації (локально й віддалено)

  • Localhost: відкрийте http://127.0.0.1:18789/.
  • Gateway TLS: коли gateway.tls.enabled: true, посилання інформаційної панелі/статусу використовують https://, а WebSocket-посилання інтерфейсу керування використовують wss://.
  • Джерело токена спільного секрету: gateway.auth.token (або OPENCLAW_GATEWAY_TOKEN); openclaw dashboard може передати його через фрагмент URL для одноразового bootstrap, а інтерфейс керування зберігає його в sessionStorage для поточної сесії вкладки браузера та вибраної URL-адреси gateway замість localStorage.
  • Якщо gateway.auth.token керується SecretRef, openclaw dashboard навмисно виводить/копіює/відкриває URL без токена. Це запобігає розкриттю зовнішньо керованих токенів у журналах shell, історії буфера обміну або аргументах запуску браузера.
  • Якщо gateway.auth.token налаштовано як SecretRef і він не розв’язується у вашому поточному shell, openclaw dashboard все одно виводить URL без токена разом із практичними вказівками з налаштування автентифікації.
  • Пароль спільного секрету: використовуйте налаштований gateway.auth.password (або OPENCLAW_GATEWAY_PASSWORD). Інформаційна панель не зберігає паролі між перезавантаженнями.
  • Режими з ідентичністю: Tailscale Serve може задовольнити автентифікацію інтерфейсу керування/WebSocket через заголовки ідентичності, коли gateway.auth.allowTailscale: true, а reverse proxy з урахуванням ідентичності поза loopback може задовольнити gateway.auth.mode: "trusted-proxy". У цих режимах інформаційній панелі не потрібен вставлений спільний секрет для WebSocket.
  • Не localhost: використовуйте Tailscale Serve, прив’язку зі спільним секретом поза loopback, reverse proxy з урахуванням ідентичності поза loopback із gateway.auth.mode: "trusted-proxy" або SSH-тунель. HTTP API все одно використовують автентифікацію за спільним секретом, якщо ви навмисно не запускаєте private-ingress gateway.auth.mode: "none" або HTTP-автентифікацію trusted-proxy. Див. Вебповерхні.

Якщо ви бачите “unauthorized” / 1008

  • Переконайтеся, що gateway доступний (локально: openclaw status; віддалено: SSH-тунель ssh -N -L 18789:127.0.0.1:18789 user@host, потім відкрийте http://127.0.0.1:18789/).
  • Для AUTH_TOKEN_MISMATCH клієнти можуть виконати одну довірену повторну спробу з кешованим токеном пристрою, коли gateway повертає підказки для повторної спроби. Ця повторна спроба з кешованим токеном повторно використовує кешовані схвалені області дії токена; виклики з явним deviceToken / явними scopes зберігають свій запитаний набір областей дії. Якщо після цієї повторної спроби автентифікація все ще не вдається, усуньте розбіжність токенів вручну.
  • Для AUTH_SCOPE_MISMATCH токен пристрою було розпізнано, але він не містить запитаних інформаційною панеллю областей дії; повторно створіть пару або схваліть запитаний контракт областей дії замість ротації спільного токена gateway.
  • Поза цим шляхом повторної спроби пріоритет автентифікації підключення такий: спочатку явний спільний токен/пароль, потім явний deviceToken, потім збережений токен пристрою, потім bootstrap-токен.
  • На асинхронному шляху інтерфейсу керування Tailscale Serve невдалі спроби для того самого {scope, ip} серіалізуються до того, як обмежувач невдалої автентифікації їх запише, тому друга одночасна невдала повторна спроба вже може показати retry later.
  • Для кроків виправлення розбіжності токенів дотримуйтеся контрольного списку відновлення після розбіжності токенів.
  • Отримайте або надайте спільний секрет з хоста gateway:
    • Токен: openclaw config get gateway.auth.token
    • Пароль: розв’яжіть налаштований gateway.auth.password або OPENCLAW_GATEWAY_PASSWORD
    • Токен, керований SecretRef: розв’яжіть зовнішнього постачальника секретів або експортуйте OPENCLAW_GATEWAY_TOKEN у цьому shell, потім повторно запустіть openclaw dashboard
    • Спільний секрет не налаштовано: openclaw doctor --generate-gateway-token
  • У налаштуваннях інформаційної панелі вставте токен або пароль у поле автентифікації, потім підключіться.
  • Перемикач мови UI розташований у Огляд -> Доступ до Gateway -> Мова. Він є частиною картки доступу, а не розділу Appearance.

Пов’язане