> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Пристрої

# `openclaw devices`

Керуйте запитами на сполучення пристроїв і токенами, обмеженими пристроями.

## Команди

### `openclaw devices list`

Показати очікувані запити на сполучення та сполучені пристрої.

```
openclaw devices list
openclaw devices list --json
```

Вивід очікуваного запиту показує запитаний доступ поруч із поточним
схваленим доступом пристрою, якщо пристрій уже сполучено. Це робить підвищення
області доступу/ролі явним, а не таким, що виглядає як втрачене сполучення.

### `openclaw devices remove <deviceId>`

Видалити один запис сполученого пристрою.

Коли ви автентифіковані токеном сполученого пристрою, викликачі без прав
адміністратора можуть видалити лише запис **свого власного** пристрою.
Видалення іншого пристрою потребує `operator.admin`.

```
openclaw devices remove <deviceId>
openclaw devices remove <deviceId> --json
```

### `openclaw devices clear --yes [--pending]`

Масово очистити сполучені пристрої.

```
openclaw devices clear --yes
openclaw devices clear --yes --pending
openclaw devices clear --yes --pending --json
```

### `openclaw devices approve [requestId] [--latest]`

Схвалити очікуваний запит на сполучення пристрою за точним `requestId`. Якщо
`requestId` пропущено або передано `--latest`, OpenClaw лише виводить вибраний
очікуваний запит і завершує роботу; повторно запустіть схвалення з точним ID
запиту після перевірки деталей.

<Note>
  Якщо пристрій повторює сполучення зі зміненими деталями автентифікації (роллю, областями доступу або відкритим ключем), OpenClaw замінює попередній очікуваний запис і видає новий `requestId`. Запустіть `openclaw devices list` безпосередньо перед схваленням, щоб використати поточний ID.
</Note>

Якщо пристрій уже сполучено і він запитує ширші області доступу або ширшу роль,
OpenClaw залишає чинне схвалення на місці та створює новий очікуваний запит на
підвищення. Перегляньте стовпці `Requested` і `Approved` у
`openclaw devices list` або скористайтеся `openclaw devices approve --latest`,
щоб попередньо переглянути точне підвищення перед його схваленням.

Якщо Gateway явно налаштовано з
`gateway.nodes.pairing.autoApproveCidrs`, перші запити `role: node` від
клієнтських IP-адрес, що збігаються, можуть бути схвалені до появи в цьому
списку. Ця політика типово вимкнена й ніколи не застосовується до клієнтів
оператора/браузера або запитів на підвищення.

Схвалення ролей пристроїв node або інших ролей неоператорських пристроїв
потребує `operator.admin`. `operator.pairing` достатньо для схвалень
операторських пристроїв лише тоді, коли запитані області доступу оператора
залишаються в межах власних областей доступу викликача. Див.
[Області доступу оператора](/uk/gateway/operator-scopes) щодо перевірок під час
схвалення.

```
openclaw devices approve
openclaw devices approve <requestId>
openclaw devices approve --latest
```

## Перше схвалення запуску Paperclip / `openclaw_gateway`

Коли новий агент Paperclip уперше підключається через адаптер `openclaw_gateway`, Gateway може вимагати одноразового схвалення сполучення пристрою, перш ніж запуски зможуть успішно виконуватися. Якщо Paperclip повідомляє `openclaw_gateway_pairing_required`, схваліть очікуваний пристрій і повторіть спробу.

Для локальних Gateway попередньо перегляньте найновіший очікуваний запит:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw devices approve --latest
```

Попередній перегляд виводить точну команду `openclaw devices approve <requestId>`. Перевірте деталі запиту, а потім повторно запустіть цю команду з ID запиту, щоб схвалити його.

Для віддалених Gateway або явних облікових даних передайте ті самі параметри під час попереднього перегляду та схвалення:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw devices approve --latest --url <gateway-ws-url> --token <gateway-token>
```

Щоб уникнути повторного схвалення після перезапусків, зберігайте постійний ключ пристрою в конфігурації адаптера Paperclip замість генерування нової тимчасової ідентичності під час кожного запуску:

```json theme={"theme":{"light":"min-light","dark":"min-dark"}}
{
  "adapterConfig": {
    "devicePrivateKeyPem": "<ed25519-private-key-pkcs8-pem>"
  }
}
```

Якщо схвалення й надалі не вдається, спершу запустіть `openclaw devices list`, щоб підтвердити наявність очікуваного запиту.

### `openclaw devices reject <requestId>`

Відхилити очікуваний запит на сполучення пристрою.

```
openclaw devices reject <requestId>
```

### `openclaw devices rotate --device <id> --role <role> [--scope <scope...>]`

Оновити токен пристрою для певної ролі (необов’язково оновивши області доступу).
Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою;
оновлення не може видати нову несхвалену роль.
Якщо пропустити `--scope`, подальші повторні підключення зі збереженим оновленим
токеном повторно використовують кешовані схвалені області доступу цього токена.
Якщо передати явні значення `--scope`, вони стануть збереженим набором областей
доступу для майбутніх повторних підключень із кешованим токеном.
Викликачі зі сполучених пристроїв без прав адміністратора можуть оновлювати
лише токен **свого власного** пристрою.
Цільовий набір областей доступу токена має залишатися в межах власних областей
доступу оператора в сесії викликача; оновлення не може видати або зберегти
ширший операторський токен, ніж уже має викликач.

```
openclaw devices rotate --device <deviceId> --role operator --scope operator.read --scope operator.write
```

Повертає метадані оновлення як JSON. Якщо викликач оновлює власний токен під
час автентифікації цим токеном пристрою, відповідь також містить замінний токен,
щоб клієнт міг зберегти його перед повторним підключенням. Спільні/адміністративні
оновлення не повертають bearer-токен.

### `openclaw devices revoke --device <id> --role <role>`

Відкликати токен пристрою для певної ролі.

Викликачі зі сполучених пристроїв без прав адміністратора можуть відкликати
лише токен **свого власного** пристрою.
Відкликання токена іншого пристрою потребує `operator.admin`.
Цільовий набір областей доступу токена також має вкладатися у власні області
доступу оператора в сесії викликача; викликачі лише зі сполученням не можуть
відкликати операторські токени admin/write.

```
openclaw devices revoke --device <deviceId> --role node
```

Повертає результат відкликання як JSON.

## Поширені параметри

* `--url <url>`: WebSocket URL Gateway (типово `gateway.remote.url`, якщо налаштовано).
* `--token <token>`: токен Gateway (якщо потрібен).
* `--password <password>`: пароль Gateway (автентифікація паролем).
* `--timeout <ms>`: тайм-аут RPC.
* `--json`: вивід JSON (рекомендовано для скриптів).

<Warning>
  Коли ви задаєте `--url`, CLI не повертається до конфігурації або облікових даних із середовища. Передайте `--token` або `--password` явно. Відсутність явних облікових даних є помилкою.
</Warning>

## Примітки

* Оновлення токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
* Ці команди потребують області доступу `operator.pairing` (або `operator.admin`). Деякі
  схвалення також потребують, щоб викликач мав області доступу оператора, які цільовий
  пристрій видав би або успадкував би. Ролі неоператорських пристроїв потребують
  `operator.admin`; див. [Області доступу оператора](/uk/gateway/operator-scopes).
* `gateway.nodes.pairing.autoApproveCidrs` є політикою Gateway за явним увімкненням
  лише для нового сполучення пристроїв node; вона не змінює повноваження схвалення CLI.
* Оновлення й відкликання токенів залишаються в межах схваленого набору ролей сполучення
  та базового рівня схвалених областей доступу для цього пристрою. Випадковий запис
  кешованого токена не надає ціль для керування токенами.
* Для сесій із токеном сполученого пристрою керування між пристроями доступне лише
  адміністраторам: `remove`, `rotate` і `revoke` стосуються лише власного пристрою,
  якщо викликач не має `operator.admin`.
* Зміна токена також обмежена областями доступу викликача: сесія лише зі сполученням
  не може оновити або відкликати токен, який наразі містить `operator.admin` або
  `operator.write`.
* `devices clear` навмисно захищено прапорцем `--yes`.
* Якщо область доступу для сполучення недоступна на local loopback (і не передано явний `--url`), list/approve можуть використовувати локальний резервний механізм сполучення.
* `devices approve` потребує явного ID запиту перед видачею токенів; пропуск `requestId` або передавання `--latest` лише попередньо переглядає найновіший очікуваний запит.

## Контрольний список відновлення після розсинхронізації токенів

Використовуйте це, коли Control UI або інші клієнти продовжують завершуватися помилками `AUTH_TOKEN_MISMATCH`, `AUTH_DEVICE_TOKEN_MISMATCH` або `AUTH_SCOPE_MISMATCH`.

1. Підтвердьте поточне джерело токена Gateway:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw config get gateway.auth.token
```

2. Перелічіть сполучені пристрої та визначте ID ураженого пристрою:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw devices list
```

3. Оновіть операторський токен для ураженого пристрою:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw devices rotate --device <deviceId> --role operator
```

4. Якщо оновлення недостатньо, видаліть застаріле сполучення та схваліть знову:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw devices remove <deviceId>
openclaw devices list
openclaw devices approve <requestId>
```

5. Повторіть підключення клієнта з поточним спільним токеном/паролем.

Примітки:

* Звичайний пріоритет автентифікації під час повторного підключення: спершу явний спільний токен/пароль, потім явний `deviceToken`, потім збережений токен пристрою, потім bootstrap-токен.
* Довірене відновлення після `AUTH_TOKEN_MISMATCH` може тимчасово надіслати разом і спільний токен, і збережений токен пристрою для однієї обмеженої повторної спроби.
* `AUTH_SCOPE_MISMATCH` означає, що токен пристрою було розпізнано, але він не містить запитаний набір областей доступу; виправте контракт схвалення сполучення/областей доступу перед зміною спільної автентифікації Gateway.

Пов’язано:

* [Усунення проблем з автентифікацією Dashboard](/uk/web/dashboard#if-you-see-unauthorized-1008)
* [Усунення проблем Gateway](/uk/gateway/troubleshooting#dashboard-control-ui-connectivity)

## Пов’язано

* [Довідник CLI](/uk/cli)
* [Вузли](/uk/nodes)
