openclaw devices
Керуйте запитами на сполучення пристроїв і токенами, обмеженими пристроями.
Команди
openclaw devices list
Показати очікувані запити на сполучення та сполучені пристрої.
openclaw devices remove <deviceId>
Видалити один запис сполученого пристрою.
Коли ви автентифіковані токеном сполученого пристрою, викликачі без прав
адміністратора можуть видалити лише запис свого власного пристрою.
Видалення іншого пристрою потребує operator.admin.
openclaw devices clear --yes [--pending]
Масово очистити сполучені пристрої.
openclaw devices approve [requestId] [--latest]
Схвалити очікуваний запит на сполучення пристрою за точним requestId. Якщо
requestId пропущено або передано --latest, OpenClaw лише виводить вибраний
очікуваний запит і завершує роботу; повторно запустіть схвалення з точним ID
запиту після перевірки деталей.
Якщо пристрій повторює сполучення зі зміненими деталями автентифікації (роллю, областями доступу або відкритим ключем), OpenClaw замінює попередній очікуваний запис і видає новий
requestId. Запустіть openclaw devices list безпосередньо перед схваленням, щоб використати поточний ID.Requested і Approved у
openclaw devices list або скористайтеся openclaw devices approve --latest,
щоб попередньо переглянути точне підвищення перед його схваленням.
Якщо Gateway явно налаштовано з
gateway.nodes.pairing.autoApproveCidrs, перші запити role: node від
клієнтських IP-адрес, що збігаються, можуть бути схвалені до появи в цьому
списку. Ця політика типово вимкнена й ніколи не застосовується до клієнтів
оператора/браузера або запитів на підвищення.
Схвалення ролей пристроїв node або інших ролей неоператорських пристроїв
потребує operator.admin. operator.pairing достатньо для схвалень
операторських пристроїв лише тоді, коли запитані області доступу оператора
залишаються в межах власних областей доступу викликача. Див.
Області доступу оператора щодо перевірок під час
схвалення.
Перше схвалення запуску Paperclip / openclaw_gateway
Коли новий агент Paperclip уперше підключається через адаптер openclaw_gateway, Gateway може вимагати одноразового схвалення сполучення пристрою, перш ніж запуски зможуть успішно виконуватися. Якщо Paperclip повідомляє openclaw_gateway_pairing_required, схваліть очікуваний пристрій і повторіть спробу.
Для локальних Gateway попередньо перегляньте найновіший очікуваний запит:
openclaw devices approve <requestId>. Перевірте деталі запиту, а потім повторно запустіть цю команду з ID запиту, щоб схвалити його.
Для віддалених Gateway або явних облікових даних передайте ті самі параметри під час попереднього перегляду та схвалення:
openclaw devices list, щоб підтвердити наявність очікуваного запиту.
openclaw devices reject <requestId>
Відхилити очікуваний запит на сполучення пристрою.
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
Оновити токен пристрою для певної ролі (необов’язково оновивши області доступу).
Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою;
оновлення не може видати нову несхвалену роль.
Якщо пропустити --scope, подальші повторні підключення зі збереженим оновленим
токеном повторно використовують кешовані схвалені області доступу цього токена.
Якщо передати явні значення --scope, вони стануть збереженим набором областей
доступу для майбутніх повторних підключень із кешованим токеном.
Викликачі зі сполучених пристроїв без прав адміністратора можуть оновлювати
лише токен свого власного пристрою.
Цільовий набір областей доступу токена має залишатися в межах власних областей
доступу оператора в сесії викликача; оновлення не може видати або зберегти
ширший операторський токен, ніж уже має викликач.
openclaw devices revoke --device <id> --role <role>
Відкликати токен пристрою для певної ролі.
Викликачі зі сполучених пристроїв без прав адміністратора можуть відкликати
лише токен свого власного пристрою.
Відкликання токена іншого пристрою потребує operator.admin.
Цільовий набір областей доступу токена також має вкладатися у власні області
доступу оператора в сесії викликача; викликачі лише зі сполученням не можуть
відкликати операторські токени admin/write.
Поширені параметри
--url <url>: WebSocket URL Gateway (типовоgateway.remote.url, якщо налаштовано).--token <token>: токен Gateway (якщо потрібен).--password <password>: пароль Gateway (автентифікація паролем).--timeout <ms>: тайм-аут RPC.--json: вивід JSON (рекомендовано для скриптів).
Примітки
- Оновлення токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
- Ці команди потребують області доступу
operator.pairing(абоoperator.admin). Деякі схвалення також потребують, щоб викликач мав області доступу оператора, які цільовий пристрій видав би або успадкував би. Ролі неоператорських пристроїв потребуютьoperator.admin; див. Області доступу оператора. gateway.nodes.pairing.autoApproveCidrsє політикою Gateway за явним увімкненням лише для нового сполучення пристроїв node; вона не змінює повноваження схвалення CLI.- Оновлення й відкликання токенів залишаються в межах схваленого набору ролей сполучення та базового рівня схвалених областей доступу для цього пристрою. Випадковий запис кешованого токена не надає ціль для керування токенами.
- Для сесій із токеном сполученого пристрою керування між пристроями доступне лише
адміністраторам:
remove,rotateіrevokeстосуються лише власного пристрою, якщо викликач не маєoperator.admin. - Зміна токена також обмежена областями доступу викликача: сесія лише зі сполученням
не може оновити або відкликати токен, який наразі містить
operator.adminабоoperator.write. devices clearнавмисно захищено прапорцем--yes.- Якщо область доступу для сполучення недоступна на local loopback (і не передано явний
--url), list/approve можуть використовувати локальний резервний механізм сполучення. devices approveпотребує явного ID запиту перед видачею токенів; пропускrequestIdабо передавання--latestлише попередньо переглядає найновіший очікуваний запит.
Контрольний список відновлення після розсинхронізації токенів
Використовуйте це, коли Control UI або інші клієнти продовжують завершуватися помилкамиAUTH_TOKEN_MISMATCH, AUTH_DEVICE_TOKEN_MISMATCH або AUTH_SCOPE_MISMATCH.
- Підтвердьте поточне джерело токена Gateway:
- Перелічіть сполучені пристрої та визначте ID ураженого пристрою:
- Оновіть операторський токен для ураженого пристрою:
- Якщо оновлення недостатньо, видаліть застаріле сполучення та схваліть знову:
- Повторіть підключення клієнта з поточним спільним токеном/паролем.
- Звичайний пріоритет автентифікації під час повторного підключення: спершу явний спільний токен/пароль, потім явний
deviceToken, потім збережений токен пристрою, потім bootstrap-токен. - Довірене відновлення після
AUTH_TOKEN_MISMATCHможе тимчасово надіслати разом і спільний токен, і збережений токен пристрою для однієї обмеженої повторної спроби. AUTH_SCOPE_MISMATCHозначає, що токен пристрою було розпізнано, але він не містить запитаний набір областей доступу; виправте контракт схвалення сполучення/областей доступу перед зміною спільної автентифікації Gateway.