openclaw devices
إدارة طلبات إقران الأجهزة والرموز المميزة المقيّدة بنطاق الجهاز.
الأوامر
openclaw devices list
اعرض طلبات الإقران المعلّقة والأجهزة المقترنة.
openclaw devices remove <deviceId>
أزِل إدخال جهاز مقترن واحد.
عندما تكون مصادقًا باستخدام رمز جهاز مقترن، يمكن للمتصلين غير المسؤولين
إزالة إدخال جهازهم هم فقط. تتطلب إزالة جهاز آخر
operator.admin.
openclaw devices clear --yes [--pending]
امسح الأجهزة المقترنة دفعة واحدة.
openclaw devices approve [requestId] [--latest]
وافِق على طلب إقران جهاز معلّق باستخدام requestId الدقيق. إذا حُذف requestId
أو مُرّر --latest، يطبع OpenClaw طلب الإقران المعلّق المحدد فقط
ثم يخرج؛ أعد تشغيل الموافقة باستخدام معرف الطلب الدقيق بعد التحقق من
التفاصيل.
إذا أعاد جهاز محاولة الإقران بتفاصيل مصادقة متغيرة (الدور أو النطاقات أو المفتاح العام)، يستبدل OpenClaw الإدخال المعلّق السابق ويصدر
requestId جديدًا. شغّل openclaw devices list مباشرة قبل الموافقة لاستخدام المعرف الحالي.Requested وApproved في openclaw devices list
أو استخدم openclaw devices approve --latest لمعاينة الترقية الدقيقة قبل
الموافقة عليها.
إذا كان Gateway مهيأً صراحة باستخدام
gateway.nodes.pairing.autoApproveCidrs، يمكن الموافقة على طلبات role: node الأولى من
عناوين IP للعملاء المطابقة قبل ظهورها في هذه القائمة. تكون هذه السياسة
معطّلة افتراضيًا ولا تنطبق أبدًا على عملاء المشغّل/المتصفح أو طلبات
الترقية.
تتطلب الموافقة على أدوار الأجهزة من نوع node أو غيرها من الأدوار غير الخاصة بالمشغّل operator.admin.
يكفي operator.pairing للموافقات الخاصة بأجهزة المشغّل فقط عندما تبقى
نطاقات المشغّل المطلوبة ضمن نطاقات المتصل نفسه. راجع
نطاقات المشغّل لفحوصات وقت الموافقة.
موافقة التشغيل الأول لـ Paperclip / openclaw_gateway
عندما يتصل وكيل Paperclip جديد عبر محوّل openclaw_gateway لأول مرة، قد يتطلب Gateway موافقة إقران جهاز لمرة واحدة قبل أن تنجح عمليات التشغيل. إذا أبلغ Paperclip عن openclaw_gateway_pairing_required، فوافِق على الجهاز المعلّق ثم أعد المحاولة.
بالنسبة إلى البوابات المحلية، عاين أحدث طلب معلّق:
openclaw devices approve <requestId> الدقيق. تحقّق من تفاصيل الطلب، ثم أعد تشغيل ذلك الأمر مع معرف الطلب للموافقة عليه.
بالنسبة إلى البوابات البعيدة أو بيانات الاعتماد الصريحة، مرّر الخيارات نفسها أثناء المعاينة والموافقة:
openclaw devices list أولًا للتأكد من وجود طلب معلّق.
openclaw devices reject <requestId>
ارفض طلب إقران جهاز معلّقًا.
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
دوّر رمز جهاز لدور محدد (مع تحديث النطاقات اختياريًا).
يجب أن يكون الدور الهدف موجودًا بالفعل في عقد الإقران المعتمد لذلك الجهاز؛
لا يمكن للدوران إصدار دور جديد غير معتمد.
إذا حذفت --scope، فستعيد عمليات إعادة الاتصال اللاحقة باستخدام الرمز المخزّن والمدوّر استخدام
النطاقات المعتمدة المخزنة مؤقتًا لذلك الرمز. إذا مرّرت قيم --scope صريحة، فستصبح
مجموعة النطاقات المخزّنة لعمليات إعادة الاتصال المستقبلية باستخدام الرمز المخزن مؤقتًا.
يمكن لمتصلين الأجهزة المقترنة غير المسؤولين تدوير رمز جهازهم هم فقط.
يجب أن تبقى مجموعة نطاقات الرمز الهدف ضمن نطاقات المشغّل الخاصة بجلسة المتصل
نفسها؛ لا يمكن للدوران إصدار رمز مشغّل أوسع أو الحفاظ عليه إذا كان أوسع مما
لدى المتصل بالفعل.
openclaw devices revoke --device <id> --role <role>
ألغِ رمز جهاز لدور محدد.
يمكن لمتصلين الأجهزة المقترنة غير المسؤولين إلغاء رمز جهازهم هم فقط.
يتطلب إلغاء رمز جهاز آخر operator.admin.
يجب أن تلائم مجموعة نطاقات الرمز الهدف أيضًا نطاقات المشغّل الخاصة بجلسة
المتصل نفسها؛ لا يستطيع المتصلون الخاصون بالإقران فقط إلغاء رموز مشغّل المسؤول/الكتابة.
الخيارات الشائعة
--url <url>: عنوان URL لـ WebSocket الخاص بـ Gateway (يستخدمgateway.remote.urlافتراضيًا عند تهيئته).--token <token>: رمز Gateway (إذا كان مطلوبًا).--password <password>: كلمة مرور Gateway (مصادقة كلمة المرور).--timeout <ms>: مهلة RPC.--json: خرج JSON (موصى به للبرمجة النصية).
ملاحظات
- يعيد تدوير الرمز رمزًا جديدًا (حساسًا). عامله كسر.
- تتطلب هذه الأوامر نطاق
operator.pairing(أوoperator.admin). تتطلب بعض الموافقات أيضًا أن يمتلك المتصل نطاقات المشغّل التي سيصدرها الجهاز الهدف أو يرثها. تتطلب أدوار الأجهزة غير الخاصة بالمشغّلoperator.admin؛ راجع نطاقات المشغّل. gateway.nodes.pairing.autoApproveCidrsهي سياسة Gateway اختيارية لإقران أجهزة node الجديدة فقط؛ ولا تغيّر صلاحية الموافقة عبر CLI.- يبقى تدوير الرمز وإلغاؤه داخل مجموعة أدوار الإقران المعتمدة وخط أساس النطاق المعتمد لذلك الجهاز. لا يمنح إدخال رمز مخزّن مؤقتًا شارد هدفًا لإدارة الرموز.
- بالنسبة إلى جلسات رموز الأجهزة المقترنة، تكون الإدارة عبر الأجهزة للمسؤولين فقط:
removeوrotateوrevokeذاتية فقط ما لم يكن لدى المتصلoperator.admin. - يكون تغيير الرمز محصورًا أيضًا بنطاق المتصل: لا تستطيع جلسة خاصة بالإقران فقط
تدوير أو إلغاء رمز يحمل حاليًا
operator.adminأوoperator.write. devices clearمحمي عمدًا بواسطة--yes.- إذا لم يكن نطاق الإقران متاحًا على local loopback (ولم يُمرّر
--urlصريح)، يمكن للقائمة/الموافقة استخدام بديل إقران محلي. - يتطلب
devices approveمعرف طلب صريحًا قبل إصدار الرموز؛ إن حذفrequestIdأو تمرير--latestيعاين أحدث طلب معلّق فقط.
قائمة التحقق لاسترداد انحراف الرمز
استخدم هذا عندما تستمر Control UI أو عملاء آخرون في الفشل معAUTH_TOKEN_MISMATCH أو AUTH_DEVICE_TOKEN_MISMATCH أو AUTH_SCOPE_MISMATCH.
- أكّد مصدر رمز Gateway الحالي:
- اعرض الأجهزة المقترنة وحدد معرف الجهاز المتأثر:
- دوّر رمز المشغّل للجهاز المتأثر:
- إذا لم يكن الدوران كافيًا، فأزِل الإقران القديم ووافِق مرة أخرى:
- أعد محاولة اتصال العميل باستخدام الرمز/كلمة المرور المشتركة الحالية.
- أسبقية مصادقة إعادة الاتصال العادية هي الرمز/كلمة المرور المشتركة الصريحة أولًا، ثم
deviceTokenالصريح، ثم رمز الجهاز المخزّن، ثم رمز التمهيد. - يمكن لاسترداد
AUTH_TOKEN_MISMATCHالموثوق أن يرسل مؤقتًا كلًا من الرمز المشترك ورمز الجهاز المخزّن معًا لمحاولة إعادة واحدة محدودة. - يعني
AUTH_SCOPE_MISMATCHأن رمز الجهاز تم التعرف عليه لكنه لا يحمل مجموعة النطاقات المطلوبة؛ أصلح عقد الموافقة على الإقران/النطاق قبل تغيير مصادقة Gateway المشتركة.