openclaw devices
管理设备配对请求和设备范围令牌。
常用选项
--url <url>:Gateway 网关 WebSocket URL(配置后默认为gateway.remote.url)--token <token>:Gateway 网关令牌(如需要)--password <password>:Gateway 网关密码(密码认证)--timeout <ms>:RPC 超时--json:JSON 输出(建议用于脚本)
命令
openclaw devices list
列出待处理的配对请求和已配对设备。
openclaw devices approve [requestId] [--latest]
通过精确的 requestId 批准待处理的配对请求。省略 requestId 或传入 --latest 只会预览最新的待处理请求并退出(代码 1);请使用精确的请求 ID 重新运行以批准。
如果设备使用变更后的认证详情(角色、作用域或公钥)重试配对,OpenClaw 会用新的
requestId 取代之前的待处理条目。请在批准前立即运行 openclaw devices list 获取当前 ID。- 如果设备已经配对并请求更宽的作用域或角色,OpenClaw 会保留现有批准并创建新的待处理升级请求。批准前,请在
openclaw devices list中比较Requested与Approved,或使用--latest预览。 - 批准
node角色或其他非操作员角色需要operator.admin。operator.pairing足以批准操作员设备,但仅当请求的操作员作用域保持在调用方自身作用域内时有效。参见 操作员权限范围。 - 如果配置了
gateway.nodes.pairing.autoApproveCidrs,来自匹配客户端 IP 的首次role: node请求可以在出现在此列表前自动批准。默认禁用;绝不适用于操作员/浏览器客户端或升级请求。
openclaw devices reject <requestId>
拒绝待处理的设备配对请求。
openclaw devices remove <deviceId>
移除一个已配对设备条目。
operator.admin。
openclaw devices clear --yes [--pending]
批量清除已配对设备。受 --yes 保护。
--pending 也会拒绝所有待处理的配对请求。
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
为某个角色轮换设备令牌,并可选择更新其作用域。
- 目标角色必须已经存在于该设备已批准的配对合约中;轮换不能生成新的未批准角色。
- 省略
--scope会在后续重新连接时复用已存储令牌的缓存批准作用域。传入显式--scope值会替换未来缓存令牌重新连接使用的已存储作用域集合。 - 非管理员的已配对设备调用方只能轮换其自己的设备令牌,且目标作用域集合必须保持在调用方自身操作员作用域内;轮换不能生成或保留比调用方已有权限更宽的令牌。
openclaw devices revoke --device <id> --role <role>
撤销某个角色的设备令牌。
operator.admin。目标作用域集合也必须适合调用方自身的操作员作用域;仅具备配对权限的调用方不能撤销管理员/写入操作员令牌。
说明
- 这些命令需要
operator.pairing(或operator.admin)作用域。非操作员设备角色始终需要operator.admin;参见 操作员权限范围。 - 令牌轮换和撤销保持在设备已批准的配对角色集合和作用域基线内。零散的缓存令牌条目不会授予令牌管理目标。
- 对于已配对设备令牌会话,跨设备管理(
remove、rotate、revoke)默认只能管理自身,除非调用方拥有operator.admin。 - 令牌轮换会返回新令牌(敏感信息)——请像处理密钥一样处理它。
- 如果 local loopback 上无法使用配对作用域,并且未传入显式
--url,list/approve可以回退到本地配对状态。
令牌漂移恢复检查清单
当 Control UI 或其他客户端持续因AUTH_TOKEN_MISMATCH、AUTH_DEVICE_TOKEN_MISMATCH 或 AUTH_SCOPE_MISMATCH 失败时使用此清单。
-
确认当前 Gateway 网关令牌来源:
-
列出已配对设备并识别受影响的设备 ID:
-
为受影响设备轮换操作员令牌:
-
如果轮换还不够,请移除陈旧配对并重新批准:
- 使用当前共享令牌/密码重试客户端连接。
- 正常重新连接认证优先级:先使用显式共享令牌/密码,然后使用显式
deviceToken,然后使用已存储设备令牌,最后使用 bootstrap 令牌。 - 受信任的
AUTH_TOKEN_MISMATCH恢复可以临时同时发送共享令牌和已存储设备令牌,用于一次有界重试。 AUTH_SCOPE_MISMATCH表示设备令牌已被识别,但不携带请求的作用域集合;请先修复配对/作用域批准合约,再更改共享 Gateway 网关认证。
Paperclip / openclaw_gateway 首次运行批准
通过 openclaw_gateway 适配器连接的 Paperclip 智能体会像任何其他新客户端一样经历首次运行设备配对批准。如果 Paperclip 报告 openclaw_gateway_pairing_required,请批准待处理设备并重试。
openclaw devices approve <requestId> 命令;请验证详情,然后使用请求 ID 重新运行该命令以批准。对于远程 Gateway 网关或显式凭据,请在预览和批准时传入相同选项:
adapterConfig.devicePrivateKeyPem,而不是让它每次运行都生成新的临时设备身份:
openclaw devices list 确认存在待处理请求。