Перейти до основного вмісту

openclaw devices

Керуйте запитами на сполучення пристроїв і токенами, обмеженими пристроями.

Команди

openclaw devices list

Показати очікувані запити на сполучення та сполучені пристрої.
openclaw devices list
openclaw devices list --json
Вивід очікуваного запиту показує запитаний доступ поруч із поточним схваленим доступом пристрою, якщо пристрій уже сполучено. Це робить підвищення області доступу/ролі явним, а не таким, що виглядає як втрачене сполучення.

openclaw devices remove <deviceId>

Видалити один запис сполученого пристрою. Коли ви автентифіковані токеном сполученого пристрою, викликачі без прав адміністратора можуть видалити лише запис свого власного пристрою. Видалення іншого пристрою потребує operator.admin.
openclaw devices remove <deviceId>
openclaw devices remove <deviceId> --json

openclaw devices clear --yes [--pending]

Масово очистити сполучені пристрої.
openclaw devices clear --yes
openclaw devices clear --yes --pending
openclaw devices clear --yes --pending --json

openclaw devices approve [requestId] [--latest]

Схвалити очікуваний запит на сполучення пристрою за точним requestId. Якщо requestId пропущено або передано --latest, OpenClaw лише виводить вибраний очікуваний запит і завершує роботу; повторно запустіть схвалення з точним ID запиту після перевірки деталей.
Якщо пристрій повторює сполучення зі зміненими деталями автентифікації (роллю, областями доступу або відкритим ключем), OpenClaw замінює попередній очікуваний запис і видає новий requestId. Запустіть openclaw devices list безпосередньо перед схваленням, щоб використати поточний ID.
Якщо пристрій уже сполучено і він запитує ширші області доступу або ширшу роль, OpenClaw залишає чинне схвалення на місці та створює новий очікуваний запит на підвищення. Перегляньте стовпці Requested і Approved у openclaw devices list або скористайтеся openclaw devices approve --latest, щоб попередньо переглянути точне підвищення перед його схваленням. Якщо Gateway явно налаштовано з gateway.nodes.pairing.autoApproveCidrs, перші запити role: node від клієнтських IP-адрес, що збігаються, можуть бути схвалені до появи в цьому списку. Ця політика типово вимкнена й ніколи не застосовується до клієнтів оператора/браузера або запитів на підвищення. Схвалення ролей пристроїв node або інших ролей неоператорських пристроїв потребує operator.admin. operator.pairing достатньо для схвалень операторських пристроїв лише тоді, коли запитані області доступу оператора залишаються в межах власних областей доступу викликача. Див. Області доступу оператора щодо перевірок під час схвалення.
openclaw devices approve
openclaw devices approve <requestId>
openclaw devices approve --latest

Перше схвалення запуску Paperclip / openclaw_gateway

Коли новий агент Paperclip уперше підключається через адаптер openclaw_gateway, Gateway може вимагати одноразового схвалення сполучення пристрою, перш ніж запуски зможуть успішно виконуватися. Якщо Paperclip повідомляє openclaw_gateway_pairing_required, схваліть очікуваний пристрій і повторіть спробу. Для локальних Gateway попередньо перегляньте найновіший очікуваний запит:
openclaw devices approve --latest
Попередній перегляд виводить точну команду openclaw devices approve <requestId>. Перевірте деталі запиту, а потім повторно запустіть цю команду з ID запиту, щоб схвалити його. Для віддалених Gateway або явних облікових даних передайте ті самі параметри під час попереднього перегляду та схвалення:
openclaw devices approve --latest --url <gateway-ws-url> --token <gateway-token>
Щоб уникнути повторного схвалення після перезапусків, зберігайте постійний ключ пристрою в конфігурації адаптера Paperclip замість генерування нової тимчасової ідентичності під час кожного запуску:
{
  "adapterConfig": {
    "devicePrivateKeyPem": "<ed25519-private-key-pkcs8-pem>"
  }
}
Якщо схвалення й надалі не вдається, спершу запустіть openclaw devices list, щоб підтвердити наявність очікуваного запиту.

openclaw devices reject <requestId>

Відхилити очікуваний запит на сполучення пристрою.
openclaw devices reject <requestId>

openclaw devices rotate --device <id> --role <role> [--scope <scope...>]

Оновити токен пристрою для певної ролі (необов’язково оновивши області доступу). Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою; оновлення не може видати нову несхвалену роль. Якщо пропустити --scope, подальші повторні підключення зі збереженим оновленим токеном повторно використовують кешовані схвалені області доступу цього токена. Якщо передати явні значення --scope, вони стануть збереженим набором областей доступу для майбутніх повторних підключень із кешованим токеном. Викликачі зі сполучених пристроїв без прав адміністратора можуть оновлювати лише токен свого власного пристрою. Цільовий набір областей доступу токена має залишатися в межах власних областей доступу оператора в сесії викликача; оновлення не може видати або зберегти ширший операторський токен, ніж уже має викликач.
openclaw devices rotate --device <deviceId> --role operator --scope operator.read --scope operator.write
Повертає метадані оновлення як JSON. Якщо викликач оновлює власний токен під час автентифікації цим токеном пристрою, відповідь також містить замінний токен, щоб клієнт міг зберегти його перед повторним підключенням. Спільні/адміністративні оновлення не повертають bearer-токен.

openclaw devices revoke --device <id> --role <role>

Відкликати токен пристрою для певної ролі. Викликачі зі сполучених пристроїв без прав адміністратора можуть відкликати лише токен свого власного пристрою. Відкликання токена іншого пристрою потребує operator.admin. Цільовий набір областей доступу токена також має вкладатися у власні області доступу оператора в сесії викликача; викликачі лише зі сполученням не можуть відкликати операторські токени admin/write.
openclaw devices revoke --device <deviceId> --role node
Повертає результат відкликання як JSON.

Поширені параметри

  • --url <url>: WebSocket URL Gateway (типово gateway.remote.url, якщо налаштовано).
  • --token <token>: токен Gateway (якщо потрібен).
  • --password <password>: пароль Gateway (автентифікація паролем).
  • --timeout <ms>: тайм-аут RPC.
  • --json: вивід JSON (рекомендовано для скриптів).
Коли ви задаєте --url, CLI не повертається до конфігурації або облікових даних із середовища. Передайте --token або --password явно. Відсутність явних облікових даних є помилкою.

Примітки

  • Оновлення токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
  • Ці команди потребують області доступу operator.pairing (або operator.admin). Деякі схвалення також потребують, щоб викликач мав області доступу оператора, які цільовий пристрій видав би або успадкував би. Ролі неоператорських пристроїв потребують operator.admin; див. Області доступу оператора.
  • gateway.nodes.pairing.autoApproveCidrs є політикою Gateway за явним увімкненням лише для нового сполучення пристроїв node; вона не змінює повноваження схвалення CLI.
  • Оновлення й відкликання токенів залишаються в межах схваленого набору ролей сполучення та базового рівня схвалених областей доступу для цього пристрою. Випадковий запис кешованого токена не надає ціль для керування токенами.
  • Для сесій із токеном сполученого пристрою керування між пристроями доступне лише адміністраторам: remove, rotate і revoke стосуються лише власного пристрою, якщо викликач не має operator.admin.
  • Зміна токена також обмежена областями доступу викликача: сесія лише зі сполученням не може оновити або відкликати токен, який наразі містить operator.admin або operator.write.
  • devices clear навмисно захищено прапорцем --yes.
  • Якщо область доступу для сполучення недоступна на local loopback (і не передано явний --url), list/approve можуть використовувати локальний резервний механізм сполучення.
  • devices approve потребує явного ID запиту перед видачею токенів; пропуск requestId або передавання --latest лише попередньо переглядає найновіший очікуваний запит.

Контрольний список відновлення після розсинхронізації токенів

Використовуйте це, коли Control UI або інші клієнти продовжують завершуватися помилками AUTH_TOKEN_MISMATCH, AUTH_DEVICE_TOKEN_MISMATCH або AUTH_SCOPE_MISMATCH.
  1. Підтвердьте поточне джерело токена Gateway:
openclaw config get gateway.auth.token
  1. Перелічіть сполучені пристрої та визначте ID ураженого пристрою:
openclaw devices list
  1. Оновіть операторський токен для ураженого пристрою:
openclaw devices rotate --device <deviceId> --role operator
  1. Якщо оновлення недостатньо, видаліть застаріле сполучення та схваліть знову:
openclaw devices remove <deviceId>
openclaw devices list
openclaw devices approve <requestId>
  1. Повторіть підключення клієнта з поточним спільним токеном/паролем.
Примітки:
  • Звичайний пріоритет автентифікації під час повторного підключення: спершу явний спільний токен/пароль, потім явний deviceToken, потім збережений токен пристрою, потім bootstrap-токен.
  • Довірене відновлення після AUTH_TOKEN_MISMATCH може тимчасово надіслати разом і спільний токен, і збережений токен пристрою для однієї обмеженої повторної спроби.
  • AUTH_SCOPE_MISMATCH означає, що токен пристрою було розпізнано, але він не містить запитаний набір областей доступу; виправте контракт схвалення сполучення/областей доступу перед зміною спільної автентифікації Gateway.
Пов’язано:

Пов’язано