admin-http-rpc đi kèm cung cấp các phương thức mặt phẳng điều khiển Gateway được chọn qua HTTP cho tự động hóa máy chủ đáng tin cậy không thể dùng ứng dụng khách RPC WebSocket Gateway thông thường.
Plugin này được bao gồm trong OpenClaw, nhưng mặc định bị tắt. Khi bị tắt, tuyến không được đăng ký. Khi được bật, nó thêm:
POST /api/v1/admin/rpc- cùng listener với Gateway:
http://<gateway-host>:<port>/api/v1/admin/rpc
Trước khi bạn bật nó
RPC HTTP quản trị là một bề mặt mặt phẳng điều khiển đầy đủ cho người vận hành. Bất kỳ caller nào vượt qua xác thực HTTP của Gateway đều có thể gọi các phương thức trong allowlist trên trang này. Hãy dùng nó khi tất cả điều sau đều đúng:- Caller được tin cậy để vận hành Gateway.
- Caller không thể dùng ứng dụng khách RPC WebSocket.
- Tuyến chỉ có thể truy cập trên loopback, tailnet, hoặc một ingress riêng tư đã xác thực.
- Bạn đã rà soát các phương thức được phép và chúng khớp với tự động hóa bạn định chạy.
Bật
Bật Plugin đi kèm:- CLI
- Config
Xác minh tuyến
Dùnghealth làm yêu cầu an toàn nhỏ nhất:
ok: true:
404 vì nó không được đăng ký.
Xác thực
Tuyến Plugin dùng xác thực HTTP của Gateway. Các đường dẫn xác thực phổ biến:- xác thực bí mật dùng chung (
gateway.auth.mode="token"hoặc"password"):Authorization: Bearer <token-or-password> - xác thực HTTP mang danh tính đáng tin cậy (
gateway.auth.mode="trusted-proxy"): định tuyến qua proxy nhận biết danh tính đã cấu hình và để nó chèn các header danh tính bắt buộc - xác thực mở qua ingress riêng tư (
gateway.auth.mode="none"): không cần header xác thực
Mô hình bảo mật
Hãy xem Plugin này như một bề mặt đầy đủ cho người vận hành Gateway.- Bật Plugin là chủ ý cung cấp quyền truy cập vào các phương thức RPC quản trị trong allowlist tại
/api/v1/admin/rpc. - Plugin khai báo hợp đồng manifest dành riêng
contracts.gatewayMethodDispatch: ["authenticated-request"]để tuyến HTTP đã xác thực bởi Gateway của nó có thể dispatch các phương thức mặt phẳng điều khiển trong tiến trình. - Xác thực bearer bằng bí mật dùng chung chứng minh quyền sở hữu bí mật của người vận hành Gateway.
- Với xác thực
tokenvàpassword, các headerx-openclaw-scopeshẹp hơn bị bỏ qua và các mặc định đầy đủ thông thường của người vận hành được khôi phục. - Các chế độ HTTP mang danh tính đáng tin cậy tôn trọng
x-openclaw-scopeskhi có mặt. gateway.auth.mode="none"nghĩa là tuyến này không được xác thực nếu Plugin được bật. Chỉ dùng chế độ đó phía sau một ingress riêng tư mà bạn hoàn toàn tin cậy.- Yêu cầu dispatch qua cùng các handler phương thức Gateway và kiểm tra phạm vi như RPC WebSocket sau khi xác thực tuyến Plugin vượt qua.
- Giữ tuyến này trên loopback, tailnet, hoặc một ingress riêng tư đáng tin cậy. Không để lộ trực tiếp nó ra internet công cộng.
- Hợp đồng manifest Plugin không phải là sandbox. Chúng ngăn việc vô tình dùng các helper SDK dành riêng; các Plugin đáng tin cậy vẫn chạy trong tiến trình Gateway.
Yêu cầu
id(chuỗi, tùy chọn): được sao chép vào phản hồi. Một UUID được tạo khi bỏ qua.method(chuỗi, bắt buộc): tên phương thức Gateway được phép.params(bất kỳ, tùy chọn): tham số riêng cho phương thức.
Phản hồi
Phản hồi thành công dùng dạng RPC Gateway:INVALID_REQUEST trả về 400, và UNAVAILABLE trả về 503.
Phương thức được phép
- khám phá:
commands.listTrả về tên các phương thức RPC HTTP được Plugin này cho phép. - gateway:
health,status,logs.tail,usage.status,usage.cost,gateway.restart.request - cấu hình:
config.get,config.schema,config.schema.lookup,config.set,config.patch,config.apply - kênh:
channels.status,channels.start,channels.stop,channels.logout - web:
web.login.start,web.login.wait - mô hình:
models.list,models.authStatus - tác nhân:
agents.list,agents.create,agents.update,agents.delete - phê duyệt:
exec.approvals.get,exec.approvals.set,exec.approvals.node.get,exec.approvals.node.set - cron:
cron.status,cron.list,cron.get,cron.runs,cron.add,cron.update,cron.remove,cron.run - thiết bị:
device.pair.list,device.pair.approve,device.pair.reject,device.pair.remove - nút:
node.list,node.describe,node.pair.list,node.pair.approve,node.pair.reject,node.pair.remove,node.rename - tác vụ:
tasks.list,tasks.get,tasks.cancel - chẩn đoán:
doctor.memory.status,update.status
So sánh WebSocket
Đường dẫn RPC WebSocket Gateway thông thường vẫn là API mặt phẳng điều khiển được ưu tiên cho các ứng dụng khách OpenClaw. Chỉ dùng RPC HTTP quản trị cho công cụ máy chủ cần bề mặt HTTP yêu cầu/phản hồi. Ứng dụng khách WebSocket dùng token chung mà không có danh tính thiết bị đáng tin cậy không thể tự khai báo phạm vi quản trị trong lúc kết nối. RPC HTTP quản trị chủ ý đi theo mô hình người vận hành HTTP đáng tin cậy hiện có: khi Plugin được bật, xác thực bearer bằng bí mật dùng chung được xem là quyền truy cập đầy đủ của người vận hành cho bề mặt quản trị này.Khắc phục sự cố
404 Not Found
: Plugin bị tắt, Gateway chưa khởi động lại kể từ khi bật nó, hoặc yêu cầu đang đi tới một tiến trình Gateway khác.
401 Unauthorized
: Yêu cầu không đáp ứng xác thực HTTP của Gateway. Kiểm tra bearer token hoặc các header danh tính trusted-proxy.
400 INVALID_REQUEST
: Thân yêu cầu không phải JSON hợp lệ, thiếu trường method, hoặc phương thức không nằm trong allowlist của Plugin.
503 UNAVAILABLE
: Handler phương thức Gateway không khả dụng. Kiểm tra nhật ký Gateway và thử lại sau khi Gateway hoàn tất khởi động.