跳转到主要内容

Web(Gateway网关)

Gateway网关在与 Gateway网关 WebSocket 相同的端口上提供一个小型浏览器控制 UI(Vite + Lit):
  • 默认:http://<host>:18789/
  • 可选前缀:设置 gateway.controlUi.basePath(例如 /openclaw
功能详情请参阅控制 UI。 本页重点介绍绑定模式、安全和面向 Web 的界面。

Webhook

hooks.enabled=true 时,Gateway网关还会在同一 HTTP 服务器上暴露一个小型 webhook 端点。 请参阅 Gateway网关配置hooks 了解认证和负载。

配置(默认启用)

当资源文件存在时(dist/control-ui),控制 UI 默认启用。 你可以通过配置控制它: 
{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath 可选
  },
}

Tailscale 访问

集成 Serve(推荐)

将 Gateway网关保持在 local loopback 上,让 Tailscale Serve 代理它: 
{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}
然后启动 Gateway网关: 
openclaw gateway
打开:
  • https://<magicdns>/(或你配置的 gateway.controlUi.basePath

Tailnet 绑定 + 令牌

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}
然后启动 Gateway网关(非 local loopback 绑定需要令牌): 
openclaw gateway
打开:
  • http://<tailscale-ip>:18789/(或你配置的 gateway.controlUi.basePath

公网访问(Funnel)

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // 或 OPENCLAW_GATEWAY_PASSWORD
  },
}

安全说明

  • Gateway网关认证默认必需(令牌/密码或 Tailscale 身份头)。
  • 非 local loopback 绑定仍然需要共享令牌/密码(gateway.auth 或环境变量)。
  • 向导默认生成 Gateway网关令牌(即使在 local loopback 上)。
  • UI 发送 connect.params.auth.tokenconnect.params.auth.password
  • 使用 Serve 时,当 gateway.auth.allowTailscaletrue 时,Tailscale 身份头可满足认证要求(无需令牌/密码)。设置 gateway.auth.allowTailscale: false 以要求显式凭据。请参阅 Tailscale安全
  • gateway.tailscale.mode: "funnel" 需要 gateway.auth.mode: "password"(共享密码)。

构建 UI

Gateway网关从 dist/control-ui 提供静态文件。使用以下命令构建: 
pnpm ui:build # 首次运行时自动安装 UI 依赖