openclaw devices
Gestiona solicitudes de emparejamiento de dispositivos y tokens con alcance de dispositivo.
Opciones comunes
--url <url>: URL de WebSocket del Gateway (usagateway.remote.urlde forma predeterminada cuando está configurada)--token <token>: token del Gateway (si se requiere)--password <password>: contraseña del Gateway (autenticación con contraseña)--timeout <ms>: tiempo de espera de RPC--json: salida JSON (recomendado para scripting)
Comandos
openclaw devices list
Lista las solicitudes de emparejamiento pendientes y los dispositivos emparejados.
openclaw devices approve [requestId] [--latest]
Aprueba una solicitud de emparejamiento pendiente por requestId exacto. Omitir requestId, o pasar --latest, solo muestra una vista previa de la solicitud pendiente más reciente y sale (código 1); vuelve a ejecutar con el ID exacto de la solicitud para aprobarla.
Si un dispositivo reintenta el emparejamiento con detalles de autenticación cambiados (rol, alcances o clave pública), OpenClaw reemplaza la entrada pendiente anterior con un nuevo
requestId. Ejecuta openclaw devices list justo antes de aprobar para obtener el ID actual.- Si el dispositivo ya está emparejado y solicita alcances o un rol más amplios, OpenClaw conserva la aprobación existente y crea una nueva solicitud pendiente de ampliación. Compara
Requestedfrente aApprovedenopenclaw devices list, o previsualiza con--latest, antes de aprobar. - Aprobar un rol
nodeu otro rol no operador requiereoperator.admin.operator.pairinges suficiente para aprobaciones de dispositivos de operador, pero solo cuando los alcances de operador solicitados permanecen dentro de los alcances propios del llamador. Consulta Alcances de operador. - Si
gateway.nodes.pairing.autoApproveCidrsestá configurado, las solicitudes inicialesrole: nodedesde IPs de cliente coincidentes pueden aprobarse automáticamente antes de aparecer en esta lista. Deshabilitado de forma predeterminada; nunca se aplica a clientes operador/navegador ni a solicitudes de ampliación.
openclaw devices reject <requestId>
Rechaza una solicitud pendiente de emparejamiento de dispositivo.
openclaw devices remove <deviceId>
Elimina una entrada de dispositivo emparejado.
operator.admin.
openclaw devices clear --yes [--pending]
Borra dispositivos emparejados en bloque. Protegido por --yes.
--pending también rechaza todas las solicitudes de emparejamiento pendientes.
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
Rota un token de dispositivo para un rol, actualizando opcionalmente sus alcances.
- El rol de destino ya debe existir en el contrato de emparejamiento aprobado de ese dispositivo; la rotación no puede emitir un nuevo rol no aprobado.
- Omitir
--scopereutiliza los alcances aprobados almacenados en caché del token guardado en reconexiones posteriores. Pasar valores--scopeexplícitos reemplaza el conjunto de alcances almacenado para futuras reconexiones con token en caché. - Un llamador de dispositivo emparejado sin privilegios de administrador solo puede rotar el token de su propio dispositivo, y el conjunto de alcances de destino debe permanecer dentro de los alcances de operador propios del llamador; la rotación no puede emitir ni conservar un token más amplio que el que el llamador ya tiene.
openclaw devices revoke --device <id> --role <role>
Revoca un token de dispositivo para un rol.
operator.admin. El conjunto de alcances de destino también debe encajar dentro de los alcances de operador propios del llamador; los llamadores solo con emparejamiento no pueden revocar tokens de operador de administrador/escritura.
Notas
- Estos comandos requieren el alcance
operator.pairing(ooperator.admin). Los roles de dispositivo no operador siempre requierenoperator.admin; consulta Alcances de operador. - La rotación y revocación de tokens permanecen dentro del conjunto de roles de emparejamiento aprobado del dispositivo y la línea base de alcances. Una entrada de token en caché suelta no concede un destino de gestión de tokens.
- Para sesiones con token de dispositivo emparejado, la gestión entre dispositivos (
remove,rotate,revoke) se limita al propio dispositivo salvo que el llamador tengaoperator.admin. - La rotación de tokens devuelve un nuevo token (sensible): trátalo como un secreto.
- Si el alcance de emparejamiento no está disponible en local loopback y no se pasa ningún
--urlexplícito,list/approvepuede recurrir al estado de emparejamiento local.
Lista de verificación para recuperación de deriva de tokens
Usa esto cuando Control UI u otros clientes sigan fallando conAUTH_TOKEN_MISMATCH, AUTH_DEVICE_TOKEN_MISMATCH o AUTH_SCOPE_MISMATCH.
-
Confirma la fuente actual del token del Gateway:
-
Lista los dispositivos emparejados e identifica el ID del dispositivo afectado:
-
Rota el token de operador para el dispositivo afectado:
-
Si la rotación no es suficiente, elimina el emparejamiento obsoleto y aprueba de nuevo:
- Reintenta la conexión del cliente con el token/contraseña compartidos actuales.
- Precedencia normal de autenticación al reconectar: token/contraseña compartidos explícitos primero, luego
deviceTokenexplícito, luego token de dispositivo almacenado, luego token de arranque. - La recuperación confiable de
AUTH_TOKEN_MISMATCHpuede enviar temporalmente tanto el token compartido como el token de dispositivo almacenado juntos para un único reintento acotado. AUTH_SCOPE_MISMATCHsignifica que el token de dispositivo fue reconocido, pero no lleva el conjunto de alcances solicitado; corrige el contrato de aprobación de emparejamiento/alcances antes de cambiar la autenticación compartida del Gateway.
Aprobación de primera ejecución de Paperclip / openclaw_gateway
Los agentes de Paperclip que se conectan mediante el adaptador openclaw_gateway pasan por la misma aprobación de emparejamiento de dispositivo de primera ejecución que cualquier otro cliente nuevo. Si Paperclip informa openclaw_gateway_pairing_required, aprueba el dispositivo pendiente y reintenta.
openclaw devices approve <requestId>; verifica los detalles y luego vuelve a ejecutar ese comando con el ID de solicitud para aprobarlo. Para un gateway remoto o credenciales explícitas, pasa las mismas opciones al previsualizar y aprobar:
adapterConfig.devicePrivateKeyPem persistente en Paperclip en lugar de dejar que genere una nueva identidad de dispositivo efímera en cada ejecución:
openclaw devices list para confirmar que existe una solicitud pendiente.