openclaw secrets apply thực thi.
Nếu một đích không khớp các quy tắc này, thao tác áp dụng sẽ thất bại trước khi thay đổi cấu hình.
Hình dạng tệp kế hoạch
openclaw secrets apply --from <plan.json> kỳ vọng một mảng targets gồm các đích kế hoạch:
Chèn mới/cập nhật và xóa provider
Kế hoạch cũng có thể bao gồm hai trường cấp cao nhất tùy chọn để thay đổi ánh xạsecrets.providers cùng với các lần ghi theo từng đích:
providerUpserts— một đối tượng được đánh khóa theo bí danh provider. Mỗi giá trị là một định nghĩa provider (cùng hình dạng được chấp nhận trongsecrets.providers.<alias>củaopenclaw.json, ví dụ một providerexechoặcfile).providerDeletes— một mảng các bí danh provider cần xóa.
providerUpserts chạy trước targets, nên một target.ref.provider có thể
tham chiếu đến bí danh provider mà chính kế hoạch đó đưa vào trong
providerUpserts. Nếu không có điều này, các kế hoạch tham chiếu đến một bí danh chưa được
cấu hình trong openclaw.json sẽ thất bại với thông báo provider "<alias>" is not configured.
providerUpserts vẫn chịu sự chi phối của
các quy tắc đồng ý exec trong Hành vi đồng ý provider exec:
các kế hoạch chứa provider exec yêu cầu --allow-exec ở chế độ ghi.
Phạm vi đích được hỗ trợ
Các đích kế hoạch được chấp nhận cho các đường dẫn thông tin xác thực được hỗ trợ trong:Hành vi của loại đích
Quy tắc chung:target.typephải được nhận diện và phải khớp với hình dạngtarget.pathđã chuẩn hóa.
models.providers.apiKeyskills.entries.apiKeychannels.googlechat.serviceAccount
Quy tắc xác thực đường dẫn
Mỗi đích được xác thực theo tất cả các điều sau:typephải là một loại đích được nhận diện.pathphải là một đường dẫn dấu chấm không rỗng.- Có thể bỏ qua
pathSegments. Nếu được cung cấp, nó phải chuẩn hóa thành đúng cùng một đường dẫn nhưpath. - Các đoạn bị cấm sẽ bị từ chối:
__proto__,prototype,constructor. - Đường dẫn đã chuẩn hóa phải khớp với hình dạng đường dẫn đã đăng ký cho loại đích.
- Nếu
providerIdhoặcaccountIdđược đặt, nó phải khớp với id được mã hóa trong đường dẫn. - Các đích
auth-profiles.jsonyêu cầuagentId. - Khi tạo một ánh xạ
auth-profiles.jsonmới, hãy bao gồmauthProfileProvider.
Hành vi khi thất bại
Nếu một đích không vượt qua xác thực, thao tác áp dụng thoát với lỗi như:Hành vi đồng ý provider exec
--dry-runmặc định bỏ qua các kiểm tra SecretRef exec.- Các kế hoạch chứa SecretRef/provider exec bị từ chối ở chế độ ghi trừ khi
--allow-execđược đặt. - Khi xác thực/áp dụng các kế hoạch chứa exec, hãy truyền
--allow-exectrong cả lệnh dry-run và lệnh ghi.
Ghi chú về phạm vi runtime và kiểm toán
- Các mục
auth-profiles.jsonchỉ có ref (keyRef/tokenRef) được đưa vào phạm vi phân giải runtime và kiểm toán. secrets applyghi các đíchopenclaw.jsonđược hỗ trợ, các đíchauth-profiles.jsonđược hỗ trợ và các đích scrub tùy chọn.
Kiểm tra cho operator
openclaw secrets configure hoặc sửa đường dẫn đích thành một hình dạng được hỗ trợ ở trên.