docs/docs/fr/cli/devices.md
2026-04-30 07:57:06 +00:00

9.1 KiB
Raw Blame History

read_when summary title x-i18n
Vous approuvez des demandes dappairage dappareils
Vous devez procéder à la rotation ou à la révocation des jetons dappareil
Référence CLI pour `openclaw devices` (appairage dappareil + rotation/révocation de jetons) Appareils
generated_at model provider source_hash source_path workflow
2026-04-30T07:17:58Z gpt-5.5 openai df105135a12ec733e45a67792e8447628f1538fc2536a008d615d46d1eaff5c8 cli/devices.md 16

openclaw devices

Gérer les demandes dassociation dappareils et les jetons limités à un appareil.

Commandes

openclaw devices list

Lister les demandes dassociation en attente et les appareils associés.

openclaw devices list
openclaw devices list --json

La sortie des demandes en attente affiche laccès demandé à côté de laccès actuellement approuvé de lappareil lorsque celui-ci est déjà associé. Cela rend les élargissements de portée/rôle explicites au lieu de donner limpression que lassociation a été perdue.

openclaw devices remove <deviceId>

Supprimer une entrée dappareil associé.

Lorsque vous êtes authentifié avec un jeton dappareil associé, les appelants non administrateurs peuvent supprimer uniquement leur propre entrée dappareil. Supprimer un autre appareil nécessite operator.admin.

openclaw devices remove <deviceId>
openclaw devices remove <deviceId> --json

openclaw devices clear --yes [--pending]

Effacer les appareils associés en bloc.

openclaw devices clear --yes
openclaw devices clear --yes --pending
openclaw devices clear --yes --pending --json

openclaw devices approve [requestId] [--latest]

Approuver une demande dassociation dappareil en attente par requestId exact. Si requestId est omis ou si --latest est passé, OpenClaw affiche uniquement la demande en attente sélectionnée puis se termine ; relancez lapprobation avec lidentifiant exact de la demande après en avoir vérifié les détails.

Si un appareil retente lassociation avec des détails dauthentification modifiés (rôle, portées ou clé publique), OpenClaw remplace lentrée en attente précédente et émet un nouveau `requestId`. Exécutez `openclaw devices list` juste avant lapprobation pour utiliser lidentifiant actuel.

Si lappareil est déjà associé et demande des portées plus larges ou un rôle plus large, OpenClaw conserve lapprobation existante et crée une nouvelle demande de mise à niveau en attente. Examinez les colonnes Requested et Approved dans openclaw devices list ou utilisez openclaw devices approve --latest pour prévisualiser la mise à niveau exacte avant de lapprouver.

Si le Gateway est explicitement configuré avec gateway.nodes.pairing.autoApproveCidrs, les premières demandes role: node provenant dIP clientes correspondantes peuvent être approuvées avant dapparaître dans cette liste. Cette politique est désactivée par défaut et ne sapplique jamais aux clients opérateur/navigateur ni aux demandes de mise à niveau.

openclaw devices approve
openclaw devices approve <requestId>
openclaw devices approve --latest

openclaw devices reject <requestId>

Rejeter une demande dassociation dappareil en attente.

openclaw devices reject <requestId>

openclaw devices rotate --device <id> --role <role> [--scope <scope...>]

Faire tourner un jeton dappareil pour un rôle spécifique (avec mise à jour facultative des portées). Le rôle cible doit déjà exister dans le contrat dassociation approuvé de cet appareil ; la rotation ne peut pas créer un nouveau rôle non approuvé. Si vous omettez --scope, les reconnexions ultérieures avec le jeton tourné stocké réutilisent les portées approuvées mises en cache pour ce jeton. Si vous passez des valeurs --scope explicites, celles-ci deviennent lensemble de portées stocké pour les futures reconnexions avec jeton mis en cache. Les appelants non administrateurs utilisant un appareil associé peuvent faire tourner uniquement leur propre jeton dappareil. Lensemble de portées du jeton cible doit rester dans les portées opérateur propres à la session de lappelant ; la rotation ne peut pas créer ni conserver un jeton opérateur plus large que celui dont dispose déjà lappelant.

openclaw devices rotate --device <deviceId> --role operator --scope operator.read --scope operator.write

Renvoie les métadonnées de rotation au format JSON. Si lappelant fait tourner son propre jeton alors quil est authentifié avec ce jeton dappareil, la réponse inclut également le jeton de remplacement afin que le client puisse le conserver avant de se reconnecter. Les rotations partagées/administrateur ne renvoient pas le jeton porteur.

openclaw devices revoke --device <id> --role <role>

Révoquer un jeton dappareil pour un rôle spécifique.

Les appelants non administrateurs utilisant un appareil associé peuvent révoquer uniquement leur propre jeton dappareil. Révoquer le jeton dun autre appareil nécessite operator.admin. Lensemble de portées du jeton cible doit également tenir dans les portées opérateur propres à la session de lappelant ; les appelants limités à lassociation ne peuvent pas révoquer des jetons opérateur administrateur/écriture.

openclaw devices revoke --device <deviceId> --role node

Renvoie le résultat de la révocation au format JSON.

Options communes

  • --url <url> : URL WebSocket du Gateway (par défaut gateway.remote.url lorsque configuré).
  • --token <token> : jeton du Gateway (si requis).
  • --password <password> : mot de passe du Gateway (authentification par mot de passe).
  • --timeout <ms> : délai dexpiration RPC.
  • --json : sortie JSON (recommandé pour les scripts).
Lorsque vous définissez `--url`, la CLI ne se rabat pas sur les identifiants de configuration ou denvironnement. Passez explicitement `--token` ou `--password`. Labsence didentifiants explicites est une erreur.

Notes

  • La rotation de jeton renvoie un nouveau jeton (sensible). Traitez-le comme un secret.
  • Ces commandes nécessitent la portée operator.pairing (ou operator.admin).
  • gateway.nodes.pairing.autoApproveCidrs est une politique Gateway opt-in pour la seule association de nouveaux appareils nœuds ; elle ne modifie pas lautorité dapprobation de la CLI.
  • La rotation et la révocation de jetons restent dans lensemble de rôles dassociation approuvé et la base de référence de portées approuvée pour cet appareil. Une entrée de jeton mise en cache isolée naccorde pas de cible de gestion de jetons.
  • Pour les sessions avec jeton dappareil associé, la gestion entre appareils est réservée aux administrateurs : remove, rotate et revoke sont limités à soi-même sauf si lappelant possède operator.admin.
  • La mutation de jeton est également limitée par les portées de lappelant : une session limitée à lassociation ne peut pas faire tourner ni révoquer un jeton qui porte actuellement operator.admin ou operator.write.
  • devices clear est volontairement protégé par --yes.
  • Si la portée dassociation est indisponible sur local loopback (et quaucun --url explicite nest passé), la liste/lapprobation peut utiliser un repli dassociation local.
  • devices approve nécessite un identifiant de demande explicite avant de créer des jetons ; omettre requestId ou passer --latest ne fait que prévisualiser la demande en attente la plus récente.

Liste de contrôle de récupération en cas de dérive des jetons

Utilisez ceci lorsque lIU de contrôle ou dautres clients continuent déchouer avec AUTH_TOKEN_MISMATCH ou AUTH_DEVICE_TOKEN_MISMATCH.

  1. Confirmez la source actuelle du jeton du Gateway :
openclaw config get gateway.auth.token
  1. Listez les appareils associés et identifiez lidentifiant de lappareil affecté :
openclaw devices list
  1. Faites tourner le jeton opérateur pour lappareil affecté :
openclaw devices rotate --device <deviceId> --role operator
  1. Si la rotation ne suffit pas, supprimez lassociation obsolète et approuvez à nouveau :
openclaw devices remove <deviceId>
openclaw devices list
openclaw devices approve <requestId>
  1. Réessayez la connexion du client avec le jeton/mot de passe partagé actuel.

Notes :

  • La priorité dauthentification de reconnexion normale est dabord le jeton/mot de passe partagé explicite, puis le deviceToken explicite, puis le jeton dappareil stocké, puis le jeton damorçage.
  • La récupération fiable après AUTH_TOKEN_MISMATCH peut temporairement envoyer à la fois le jeton partagé et le jeton dappareil stocké pour la seule tentative limitée.

Connexe :

Connexe