openclaw devices
Verwalten Sie Gerätekopplungsanfragen und gerätebezogene Token.
Befehle
openclaw devices list
Listet ausstehende Kopplungsanfragen und gekoppelte Geräte auf.
openclaw devices remove <deviceId>
Entfernt einen Eintrag eines gekoppelten Geräts.
Wenn Sie mit einem gekoppelten Geräte-Token authentifiziert sind, können Nicht-Admin-Aufrufer
nur ihren eigenen Geräteeintrag entfernen. Das Entfernen eines anderen Geräts erfordert
operator.admin.
openclaw devices clear --yes [--pending]
Löscht gekoppelte Geräte gesammelt.
openclaw devices approve [requestId] [--latest]
Genehmigt eine ausstehende Gerätekopplungsanfrage anhand der exakten requestId. Wenn requestId
weggelassen oder --latest übergeben wird, gibt OpenClaw nur die ausgewählte ausstehende
Anfrage aus und beendet sich; führen Sie die Genehmigung nach Prüfung der Details erneut mit der exakten Anfrage-ID aus.
Wenn ein Gerät die Kopplung mit geänderten Authentifizierungsdetails (Rolle, Scopes oder öffentlicher Schlüssel) erneut versucht, ersetzt OpenClaw den vorherigen ausstehenden Eintrag und stellt eine neue
requestId aus. Führen Sie direkt vor der Genehmigung openclaw devices list aus, um die aktuelle ID zu verwenden.Requested und Approved in openclaw devices list
oder verwenden Sie openclaw devices approve --latest, um das exakte Upgrade vor der Genehmigung
in der Vorschau anzuzeigen.
Wenn der Gateway ausdrücklich mit
gateway.nodes.pairing.autoApproveCidrs konfiguriert ist, können erstmalige role: node-Anfragen von
passenden Client-IPs genehmigt werden, bevor sie in dieser Liste erscheinen. Diese Richtlinie
ist standardmäßig deaktiviert und gilt niemals für Operator-/Browser-Clients oder Upgrade-
Anfragen.
Das Genehmigen von Node- oder anderen Nicht-Operator-Geräterollen erfordert operator.admin.
operator.pairing reicht nur für Genehmigungen von Operator-Geräten aus, wenn die
angeforderten Operator-Scopes innerhalb der eigenen Scopes des Aufrufers bleiben. Siehe
Operator-Scopes für die Prüfungen zum Genehmigungszeitpunkt.
Erstlaufgenehmigung für Paperclip / openclaw_gateway
Wenn sich ein neuer Paperclip-Agent zum ersten Mal über den openclaw_gateway-Adapter verbindet, kann der Gateway eine einmalige Gerätekopplungsgenehmigung verlangen, bevor Läufe erfolgreich sein können. Wenn Paperclip openclaw_gateway_pairing_required meldet, genehmigen Sie das ausstehende Gerät und versuchen Sie es erneut.
Zeigen Sie bei lokalen Gateways die neueste ausstehende Anfrage in der Vorschau an:
openclaw devices approve <requestId> aus. Prüfen Sie die Anfragedetails und führen Sie diesen Befehl dann erneut mit der Anfrage-ID aus, um sie zu genehmigen.
Übergeben Sie bei Remote-Gateways oder expliziten Zugangsdaten beim Anzeigen der Vorschau und beim Genehmigen dieselben Optionen:
openclaw devices list aus, um zu bestätigen, dass eine ausstehende Anfrage vorhanden ist.
openclaw devices reject <requestId>
Lehnt eine ausstehende Gerätekopplungsanfrage ab.
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
Rotiert ein Geräte-Token für eine bestimmte Rolle (optional mit Aktualisierung der Scopes).
Die Zielrolle muss bereits im genehmigten Kopplungsvertrag dieses Geräts vorhanden sein;
durch Rotation kann keine neue, nicht genehmigte Rolle ausgestellt werden.
Wenn Sie --scope weglassen, verwenden spätere Neuverbindungen mit dem gespeicherten rotierten Token die
zwischengespeicherten genehmigten Scopes dieses Tokens erneut. Wenn Sie explizite --scope-Werte übergeben, werden diese
zur gespeicherten Scope-Menge für künftige Neuverbindungen mit zwischengespeicherten Token.
Nicht-Admin-Aufrufer mit gekoppeltem Gerät können nur ihr eigenes Geräte-Token rotieren.
Die Scope-Menge des Ziel-Tokens muss innerhalb der eigenen Operator-
Scopes der Aufrufersitzung bleiben; durch Rotation kann kein breiteres Operator-Token ausgestellt oder bewahrt werden, als der
Aufrufer bereits besitzt.
openclaw devices revoke --device <id> --role <role>
Widerruft ein Geräte-Token für eine bestimmte Rolle.
Nicht-Admin-Aufrufer mit gekoppeltem Gerät können nur ihr eigenes Geräte-Token widerrufen.
Das Widerrufen des Tokens eines anderen Geräts erfordert operator.admin.
Die Scope-Menge des Ziel-Tokens muss außerdem innerhalb der eigenen
Operator-Scopes der Aufrufersitzung liegen; reine Kopplungs-Aufrufer können keine Admin-/Schreib-Operator-Token widerrufen.
Allgemeine Optionen
--url <url>: Gateway-WebSocket-URL (standardmäßiggateway.remote.url, wenn konfiguriert).--token <token>: Gateway-Token (falls erforderlich).--password <password>: Gateway-Passwort (Passwortauthentifizierung).--timeout <ms>: RPC-Timeout.--json: JSON-Ausgabe (für Skripting empfohlen).
Hinweise
- Token-Rotation gibt ein neues Token zurück (sensibel). Behandeln Sie es wie ein Secret.
- Diese Befehle erfordern den Scope
operator.pairing(oderoperator.admin). Einige Genehmigungen erfordern außerdem, dass der Aufrufer die Operator-Scopes besitzt, die das Ziel- Gerät ausstellen oder erben würde. Nicht-Operator-Geräterollen erfordernoperator.admin; siehe Operator-Scopes. gateway.nodes.pairing.autoApproveCidrsist eine optionale Gateway-Richtlinie nur für frische Node-Gerätekopplungen; sie ändert nicht die Genehmigungsberechtigung der CLI.- Token-Rotation und -Widerruf bleiben innerhalb der genehmigten Kopplungsrollenmenge und der genehmigten Scope-Basislinie für dieses Gerät. Ein verirrter zwischengespeicherter Token-Eintrag gewährt kein Ziel für die Token-Verwaltung.
- Bei Sitzungen mit Token gekoppelter Geräte ist geräteübergreifende Verwaltung nur Admins vorbehalten:
remove,rotateundrevokesind auf das eigene Gerät beschränkt, sofern der Aufrufer nichtoperator.adminbesitzt. - Token-Mutationen sind außerdem auf die Scopes des Aufrufers begrenzt: Eine reine Kopplungssitzung kann kein
Token rotieren oder widerrufen, das aktuell
operator.adminoderoperator.writeträgt. devices clearist absichtlich durch--yesgeschützt.- Wenn der Kopplungs-Scope auf local loopback nicht verfügbar ist (und kein explizites
--urlübergeben wird), können list/approve einen lokalen Kopplungs-Fallback verwenden. devices approveerfordert vor dem Ausstellen von Token eine explizite Anfrage-ID; das Weglassen vonrequestIdoder das Übergeben von--latestzeigt nur eine Vorschau der neuesten ausstehenden Anfrage an.
Checkliste zur Behebung von Token-Drift
Verwenden Sie dies, wenn Control UI oder andere Clients weiterhin mitAUTH_TOKEN_MISMATCH, AUTH_DEVICE_TOKEN_MISMATCH oder AUTH_SCOPE_MISMATCH fehlschlagen.
- Bestätigen Sie die aktuelle Quelle des Gateway-Tokens:
- Listen Sie gekoppelte Geräte auf und identifizieren Sie die betroffene Geräte-ID:
- Rotieren Sie das Operator-Token für das betroffene Gerät:
- Wenn Rotation nicht ausreicht, entfernen Sie die veraltete Kopplung und genehmigen Sie erneut:
- Versuchen Sie die Client-Verbindung mit dem aktuellen gemeinsamen Token/Passwort erneut.
- Die normale Authentifizierungspriorität bei Neuverbindungen lautet: zuerst explizites gemeinsames Token/Passwort, dann explizites
deviceToken, dann gespeichertes Geräte-Token, dann Bootstrap-Token. - Eine vertrauenswürdige Wiederherstellung nach
AUTH_TOKEN_MISMATCHkann vorübergehend sowohl das gemeinsame Token als auch das gespeicherte Geräte-Token gemeinsam für den einen begrenzten Wiederholungsversuch senden. AUTH_SCOPE_MISMATCHbedeutet, dass das Geräte-Token erkannt wurde, aber die angeforderte Scope-Menge nicht trägt; korrigieren Sie den Kopplungs-/Scope-Genehmigungsvertrag, bevor Sie die gemeinsame Gateway-Authentifizierung ändern.