chore(i18n): refresh de translations

This commit is contained in:
openclaw-docs-i18n[bot] 2026-04-30 21:02:46 +00:00
parent 0bab42c460
commit f85d60376e

View File

@ -1,28 +1,28 @@
---
read_when:
- Arbeiten an der Auflösung von Authentifizierungsprofilen oder am Routing von Anmeldedaten
- Fehlersuche bei Modellauthentifizierungsfehlern oder der Profilreihenfolge
summary: Kanonische Semantik für die Zulässigkeit und Auflösung von Anmeldeinformationen für Authentifizierungsprofile
title: Semantik von Auth-Zugangsdaten
- Fehlersuche bei Modell-Authentifizierungsfehlern oder der Profilreihenfolge
summary: Kanonische Eignung von Anmeldeinformationen und Auflösungssemantik für Authentifizierungsprofile
title: Semantik der Authentifizierungsdaten
x-i18n:
generated_at: "2026-04-30T06:38:17Z"
generated_at: "2026-04-30T21:02:16Z"
model: gpt-5.5
provider: openai
source_hash: 0525a71d3f08b7aa95e2f06acc6c23d87cd92d6b5fe4fc050ecf2b7caff84b3f
source_hash: 39b9f96159d5a7b793983d07c37a73139a0904abbbc8831267807d6acf5c0037
source_path: auth-credential-semantics.md
workflow: 16
---
Dieses Dokument definiert die kanonische Semantik für die Eignung und Auflösung von Zugangsdaten, die verwendet wird in:
Dieses Dokument definiert die kanonische Semantik für die Zulässigkeit und Auflösung von Anmeldeinformationen, die verwendet wird in:
- `resolveAuthProfileOrder`
- `resolveApiKeyForProfile`
- `models status --probe`
- `doctor-auth`
Ziel ist es, das Verhalten zur Auswahlzeit und zur Laufzeit aufeinander abzustimmen.
Das Ziel ist, das Verhalten bei der Auswahl und zur Laufzeit aufeinander abzustimmen.
## Stabile Probe-Ursachencodes
## Stabile Prüfungs-Begründungscodes
- `ok`
- `excluded_by_auth_order`
@ -32,69 +32,70 @@ Ziel ist es, das Verhalten zur Auswahlzeit und zur Laufzeit aufeinander abzustim
- `unresolved_ref`
- `no_model`
## Token-Zugangsdaten
## Token-Anmeldeinformationen
Token-Zugangsdaten (`type: "token"`) unterstützen Inline-`token` und/oder `tokenRef`.
Token-Anmeldeinformationen (`type: "token"`) unterstützen inline `token` und/oder `tokenRef`.
### Eignungsregeln
### Zulässigkeitsregeln
1. Ein Token-Profil ist nicht geeignet, wenn sowohl `token` als auch `tokenRef` fehlen.
1. Ein Token-Profil ist unzulässig, wenn sowohl `token` als auch `tokenRef` fehlen.
2. `expires` ist optional.
3. Wenn `expires` vorhanden ist, muss es eine endliche Zahl größer als `0` sein.
4. Wenn `expires` ungültig ist (`NaN`, `0`, negativ, nicht endlich oder falscher Typ), ist das Profil mit `invalid_expires` nicht geeignet.
5. Wenn `expires` in der Vergangenheit liegt, ist das Profil mit `expired` nicht geeignet.
4. Wenn `expires` ungültig ist (`NaN`, `0`, negativ, nicht endlich oder falscher Typ), ist das Profil mit `invalid_expires` unzulässig.
5. Wenn `expires` in der Vergangenheit liegt, ist das Profil mit `expired` unzulässig.
6. `tokenRef` umgeht die Validierung von `expires` nicht.
### Auflösungsregeln
1. Die Resolver-Semantik entspricht der Eignungssemantik für `expires`.
2. Für geeignete Profile kann Token-Material aus einem Inline-Wert oder aus `tokenRef` aufgelöst werden.
1. Die Resolver-Semantik entspricht der Zulässigkeitssemantik für `expires`.
2. Bei zulässigen Profilen kann Token-Material aus einem Inline-Wert oder aus `tokenRef` aufgelöst werden.
3. Nicht auflösbare Referenzen erzeugen `unresolved_ref` in der Ausgabe von `models status --probe`.
## Portierbarkeit von Agent-Kopien
## Portabilität beim Kopieren von Agenten
Die Auth-Vererbung von Agenten ist durchlesend. Wenn ein Agent kein lokales Profil hat, kann er Profile zur Laufzeit aus dem Standard-/Haupt-Agent-Speicher auflösen, ohne geheimes Material in seine eigene `auth-profiles.json` zu kopieren.
Die Auth-Vererbung für Agenten wird beim Lesen durchgereicht. Wenn ein Agent kein lokales Profil hat, kann er zur Laufzeit Profile aus dem Standard-/Hauptspeicher des Agenten auflösen, ohne geheimes Material in seine eigene `auth-profiles.json` zu kopieren.
Explizite Kopierabläufe wie `openclaw agents add` verwenden diese Portierbarkeitsrichtlinie:
Explizite Kopierabläufe wie `openclaw agents add` verwenden diese Portabilitätsrichtlinie:
- `api_key`-Profile sind portierbar, außer `copyToAgents: false`.
- `token`-Profile sind portierbar, außer `copyToAgents: false`.
- `oauth`-Profile sind standardmäßig nicht portierbar, da Aktualisierungs-Token einmalig verwendbar oder rotationssensitiv sein können.
- Provider-eigene OAuth-Abläufe können sich mit `copyToAgents: true` nur dann dafür entscheiden, wenn bekannt ist, dass das Kopieren von Aktualisierungsmaterial zwischen Agenten sicher ist.
- `api_key`-Profile sind portabel, sofern nicht `copyToAgents: false` gesetzt ist.
- `token`-Profile sind portabel, sofern nicht `copyToAgents: false` gesetzt ist.
- `oauth`-Profile sind standardmäßig nicht portabel, da Aktualisierungstoken nur einmal verwendbar oder rotationsempfindlich sein können.
- Provider-eigene OAuth-Abläufe können sich nur dann mit `copyToAgents: true` anmelden, wenn bekannt ist, dass das Kopieren von Aktualisierungsmaterial über Agenten hinweg sicher ist.
Nicht portierbare Profile bleiben über durchlesende Vererbung verfügbar, sofern sich der Ziel-Agent nicht separat anmeldet und ein eigenes lokales Profil erstellt.
Nicht portable Profile bleiben über die durchgereichte Vererbung verfügbar, sofern sich der Ziel-Agent nicht separat anmeldet und sein eigenes lokales Profil erstellt.
## Explizite Auth-Reihenfolge-Filterung
## Explizite Auth-Reihenfolgenfilterung
- Wenn `auth.order.<provider>` oder die Auth-Speicher-Reihenfolgeüberschreibung für einen Provider festgelegt ist, prüft `models status --probe` nur Profil-IDs, die in der aufgelösten Auth-Reihenfolge für diesen Provider verbleiben.
- Ein gespeichertes Profil für diesen Provider, das in der expliziten Reihenfolge ausgelassen wurde, wird später nicht stillschweigend versucht. Die Probe-Ausgabe meldet es mit `reasonCode: excluded_by_auth_order` und dem Detail `Excluded by auth.order for this provider.`
- Wenn `auth.order.<provider>` oder die Reihenfolgenüberschreibung des Auth-Speichers für einen Provider gesetzt ist, prüft `models status --probe` nur Profil-IDs, die in der aufgelösten Auth-Reihenfolge für diesen Provider verbleiben.
- Ein gespeichertes Profil für diesen Provider, das in der expliziten Reihenfolge ausgelassen wird, wird später nicht stillschweigend ausprobiert. Die Prüfungsausgabe meldet es mit `reasonCode: excluded_by_auth_order` und dem Detail `Excluded by auth.order for this provider.`
## Auflösung von Probe-Zielen
## Auflösung von Prüfungszielen
- Probe-Ziele können aus Auth-Profilen, Umgebungs-Zugangsdaten oder `models.json` stammen.
- Wenn ein Provider Zugangsdaten hat, OpenClaw dafür aber keinen prüfbaren Modellkandidaten auflösen kann, meldet `models status --probe` `status: no_model` mit `reasonCode: no_model`.
- Prüfungsziele können aus Auth-Profilen, Umgebungs-Anmeldeinformationen oder `models.json` stammen.
- Wenn ein Provider über Anmeldeinformationen verfügt, OpenClaw aber keinen prüfbaren Modellkandidaten dafür auflösen kann, meldet `models status --probe` den Wert `status: no_model` mit `reasonCode: no_model`.
## Erkennung von Zugangsdaten externer CLIs
## Erkennung von Anmeldeinformationen externer CLIs
- Nur zur Laufzeit verwendete Zugangsdaten, die externen CLIs gehören, werden nur erkannt, wenn der Provider, die Laufzeit oder das Auth-Profil für den aktuellen Vorgang im Scope ist oder wenn bereits ein gespeichertes lokales Profil für diese externe Quelle vorhanden ist.
- Schreibgeschützte/Status-Pfade übergeben `allowKeychainPrompt: false`; sie verwenden nur dateibasierte Zugangsdaten externer CLIs und lesen oder verwenden keine Ergebnisse aus dem macOS-Schlüsselbund erneut.
- Nur zur Laufzeit verwendete Anmeldeinformationen, die externen CLIs gehören, werden nur erkannt, wenn der Provider, die Laufzeit oder das Auth-Profil für den aktuellen Vorgang im Geltungsbereich liegt oder wenn bereits ein gespeichertes lokales Profil für diese externe Quelle existiert.
- Aufrufer des Auth-Speichers sollten einen expliziten Erkennungsmodus für externe CLIs wählen: `none` nur für persistierte/Plugin-Auth, `existing` zum Aktualisieren bereits gespeicherter externer CLI-Profile oder `scoped` für eine konkrete Provider-/Profilgruppe.
- Schreibgeschützte Statuspfade übergeben `allowKeychainPrompt: false`; sie verwenden nur dateibasierte externe CLI-Anmeldeinformationen und lesen oder verwenden keine Ergebnisse aus dem macOS-Schlüsselbund.
## OAuth-SecretRef-Richtlinien-Guard
## Richtlinienschutz für OAuth-SecretRef
- SecretRef-Eingaben sind nur für statische Zugangsdaten vorgesehen.
- Wenn die Profil-Zugangsdaten `type: "oauth"` sind, werden SecretRef-Objekte für dieses Profil-Zugangsdatenmaterial nicht unterstützt.
- Wenn `auth.profiles.<id>.mode` `"oauth"` ist, wird SecretRef-gestützte `keyRef`/`tokenRef`-Eingabe für dieses Profil abgelehnt.
- Verstöße sind harte Fehler in Auth-Auflösungspfaden beim Start/Neuladen.
- SecretRef-Eingaben sind nur für statische Anmeldeinformationen vorgesehen.
- Wenn die Profil-Anmeldeinformation `type: "oauth"` ist, werden SecretRef-Objekte für das Material dieser Profil-Anmeldeinformationen nicht unterstützt.
- Wenn `auth.profiles.<id>.mode` den Wert `"oauth"` hat, werden SecretRef-basierte `keyRef`-/`tokenRef`-Eingaben für dieses Profil abgelehnt.
- Verstöße sind harte Fehler in Auth-Auflösungspfaden beim Starten oder Neuladen.
## Legacy-kompatible Meldungen
Für Skriptkompatibilität behalten Probe-Fehler diese erste Zeile unverändert bei:
Aus Gründen der Skript-Kompatibilität behalten Prüfungsfehler diese erste Zeile unverändert bei:
`Auth profile credentials are missing or expired.`
Benutzerfreundliche Details und stabile Ursachencodes können in nachfolgenden Zeilen hinzugefügt werden.
Benutzerfreundliche Details und stabile Begründungscodes können in nachfolgenden Zeilen hinzugefügt werden.
## Verwandte Themen
- [Geheimnisverwaltung](/de/gateway/secrets)
- [Auth-Speicher](/de/concepts/oauth)
- [Auth-Speicherung](/de/concepts/oauth)