> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Панель керування

Інформаційна панель Gateway — це браузерний інтерфейс керування, який за замовчуванням обслуговується за адресою `/`
(можна перевизначити через `gateway.controlUi.basePath`).

Швидке відкриття (локальний Gateway):

* [http://127.0.0.1:18789/](http://127.0.0.1:18789/) (або [http://localhost:18789/](http://localhost:18789/))
* З `gateway.tls.enabled: true` використовуйте `https://127.0.0.1:18789/` і
  `wss://127.0.0.1:18789` для кінцевої точки WebSocket.

Ключові посилання:

* [Інтерфейс керування](/uk/web/control-ui) для використання та можливостей UI.
* [Tailscale](/uk/gateway/tailscale) для автоматизації Serve/Funnel.
* [Вебповерхні](/uk/web) для режимів прив’язки та приміток щодо безпеки.

Автентифікація застосовується під час WebSocket handshake через налаштований шлях автентифікації gateway:

* `connect.params.auth.token`
* `connect.params.auth.password`
* заголовки ідентичності Tailscale Serve, коли `gateway.auth.allowTailscale: true`
* заголовки ідентичності trusted-proxy, коли `gateway.auth.mode: "trusted-proxy"`

Див. `gateway.auth` у [конфігурації Gateway](/uk/gateway/configuration).

Примітка щодо безпеки: інтерфейс керування є **адміністративною поверхнею** (чат, конфігурація, схвалення виконання).
Не відкривайте його для публічного доступу. UI зберігає токени URL інформаційної панелі в sessionStorage
для поточної сесії вкладки браузера та вибраної URL-адреси gateway, а після завантаження видаляє їх з URL.
Віддавайте перевагу localhost, Tailscale Serve або SSH-тунелю.

## Швидкий шлях (рекомендовано)

* Після початкового налаштування CLI автоматично відкриває інформаційну панель і виводить чисте посилання (без токена).
* Відкрити повторно будь-коли: `openclaw dashboard` (копіює посилання, відкриває браузер, якщо можливо, показує підказку SSH у headless-режимі).
* Якщо доставлення через буфер обміну та браузер не вдалося, `openclaw dashboard` все одно виводить
  чистий URL і повідомляє використати токен з `OPENCLAW_GATEWAY_TOKEN` або
  `gateway.auth.token` як ключ фрагмента URL `token`; значення токенів у журнали не виводяться.
* Якщо UI запитує автентифікацію за спільним секретом, вставте налаштований токен або
  пароль у налаштування інтерфейсу керування.

## Основи автентифікації (локально й віддалено)

* **Localhost**: відкрийте `http://127.0.0.1:18789/`.
* **Gateway TLS**: коли `gateway.tls.enabled: true`, посилання інформаційної панелі/статусу використовують
  `https://`, а WebSocket-посилання інтерфейсу керування використовують `wss://`.
* **Джерело токена спільного секрету**: `gateway.auth.token` (або
  `OPENCLAW_GATEWAY_TOKEN`); `openclaw dashboard` може передати його через фрагмент URL
  для одноразового bootstrap, а інтерфейс керування зберігає його в sessionStorage для
  поточної сесії вкладки браузера та вибраної URL-адреси gateway замість localStorage.
* Якщо `gateway.auth.token` керується SecretRef, `openclaw dashboard`
  навмисно виводить/копіює/відкриває URL без токена. Це запобігає розкриттю
  зовнішньо керованих токенів у журналах shell, історії буфера обміну або аргументах
  запуску браузера.
* Якщо `gateway.auth.token` налаштовано як SecretRef і він не розв’язується у вашому
  поточному shell, `openclaw dashboard` все одно виводить URL без токена разом із
  практичними вказівками з налаштування автентифікації.
* **Пароль спільного секрету**: використовуйте налаштований `gateway.auth.password` (або
  `OPENCLAW_GATEWAY_PASSWORD`). Інформаційна панель не зберігає паролі між
  перезавантаженнями.
* **Режими з ідентичністю**: Tailscale Serve може задовольнити автентифікацію інтерфейсу керування/WebSocket
  через заголовки ідентичності, коли `gateway.auth.allowTailscale: true`, а
  reverse proxy з урахуванням ідентичності поза loopback може задовольнити
  `gateway.auth.mode: "trusted-proxy"`. У цих режимах інформаційній панелі не потрібен
  вставлений спільний секрет для WebSocket.
* **Не localhost**: використовуйте Tailscale Serve, прив’язку зі спільним секретом поза loopback,
  reverse proxy з урахуванням ідентичності поза loopback із
  `gateway.auth.mode: "trusted-proxy"` або SSH-тунель. HTTP API все одно використовують
  автентифікацію за спільним секретом, якщо ви навмисно не запускаєте private-ingress
  `gateway.auth.mode: "none"` або HTTP-автентифікацію trusted-proxy. Див.
  [Вебповерхні](/uk/web).

<a id="if-you-see-unauthorized-1008" />

## Якщо ви бачите "unauthorized" / 1008

* Переконайтеся, що gateway доступний (локально: `openclaw status`; віддалено: SSH-тунель `ssh -N -L 18789:127.0.0.1:18789 user@host`, потім відкрийте `http://127.0.0.1:18789/`).
* Для `AUTH_TOKEN_MISMATCH` клієнти можуть виконати одну довірену повторну спробу з кешованим токеном пристрою, коли gateway повертає підказки для повторної спроби. Ця повторна спроба з кешованим токеном повторно використовує кешовані схвалені області дії токена; виклики з явним `deviceToken` / явними `scopes` зберігають свій запитаний набір областей дії. Якщо після цієї повторної спроби автентифікація все ще не вдається, усуньте розбіжність токенів вручну.
* Для `AUTH_SCOPE_MISMATCH` токен пристрою було розпізнано, але він не містить запитаних інформаційною панеллю областей дії; повторно створіть пару або схваліть запитаний контракт областей дії замість ротації спільного токена gateway.
* Поза цим шляхом повторної спроби пріоритет автентифікації підключення такий: спочатку явний спільний токен/пароль, потім явний `deviceToken`, потім збережений токен пристрою, потім bootstrap-токен.
* На асинхронному шляху інтерфейсу керування Tailscale Serve невдалі спроби для того самого
  `{scope, ip}` серіалізуються до того, як обмежувач невдалої автентифікації їх запише, тому
  друга одночасна невдала повторна спроба вже може показати `retry later`.
* Для кроків виправлення розбіжності токенів дотримуйтеся [контрольного списку відновлення після розбіжності токенів](/uk/cli/devices#token-drift-recovery-checklist).
* Отримайте або надайте спільний секрет з хоста gateway:
  * Токен: `openclaw config get gateway.auth.token`
  * Пароль: розв’яжіть налаштований `gateway.auth.password` або
    `OPENCLAW_GATEWAY_PASSWORD`
  * Токен, керований SecretRef: розв’яжіть зовнішнього постачальника секретів або експортуйте
    `OPENCLAW_GATEWAY_TOKEN` у цьому shell, потім повторно запустіть `openclaw dashboard`
  * Спільний секрет не налаштовано: `openclaw doctor --generate-gateway-token`
* У налаштуваннях інформаційної панелі вставте токен або пароль у поле автентифікації,
  потім підключіться.
* Перемикач мови UI розташований у **Огляд -> Доступ до Gateway -> Мова**.
  Він є частиною картки доступу, а не розділу Appearance.

## Пов’язане

* [Інтерфейс керування](/uk/web/control-ui)
* [WebChat](/uk/web/webchat)
