12 KiB
| read_when | summary | title | x-i18n | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Довідка CLI для `openclaw devices` (сполучення пристроїв + ротація/відкликання токенів) | Пристрої |
|
openclaw devices
Керуйте запитами на сполучення пристроїв і токенами, прив’язаними до пристроїв.
Команди
openclaw devices list
Показати список запитів на сполучення, що очікують розгляду, і сполучених пристроїв.
openclaw devices list
openclaw devices list --json
У виводі запитів, що очікують розгляду, запитуваний доступ показується поруч із поточним схваленим доступом пристрою, якщо пристрій уже сполучений. Це робить оновлення scope/ролей явними замість того, щоб створювати враження, ніби сполучення було втрачено.
openclaw devices remove <deviceId>
Видалити один запис про сполучений пристрій.
Якщо ви автентифіковані токеном сполученого пристрою, викликачі без прав
адміністратора можуть видаляти лише власний запис пристрою. Видалення
будь-якого іншого пристрою потребує operator.admin.
openclaw devices remove <deviceId>
openclaw devices remove <deviceId> --json
openclaw devices clear --yes [--pending]
Масово очистити сполучені пристрої.
openclaw devices clear --yes
openclaw devices clear --yes --pending
openclaw devices clear --yes --pending --json
openclaw devices approve [requestId] [--latest]
Схвалити запит на сполучення пристрою, що очікує розгляду, за точним requestId.
Якщо requestId пропущено або передано --latest, OpenClaw лише показує
вибраний запит, що очікує розгляду, і завершує роботу; повторно виконайте
схвалення з точним ID запиту після перевірки деталей.
Примітка: якщо пристрій повторює спробу сполучення зі зміненими даними
автентифікації (роль/scopes/public key), OpenClaw замінює попередній запис,
що очікує розгляду, і видає новий requestId. Виконайте openclaw devices list
безпосередньо перед схваленням, щоб використати актуальний ID.
Якщо пристрій уже сполучений і запитує ширші scopes або ширшу роль,
OpenClaw зберігає чинне схвалення та створює новий запит на оновлення,
що очікує розгляду. Перегляньте стовпці Requested і Approved у
openclaw devices list або використайте openclaw devices approve --latest,
щоб попередньо переглянути точне оновлення перед його схваленням.
Якщо для Gateway явно налаштовано
gateway.nodes.pairing.autoApproveCidrs, початкові запити role: node від
клієнтських IP-адрес, що відповідають умовам, можуть бути схвалені ще до того,
як вони з’являться в цьому списку. Ця політика типово вимкнена й ніколи не
застосовується до клієнтів operator/browser або запитів на оновлення.
openclaw devices approve
openclaw devices approve <requestId>
openclaw devices approve --latest
openclaw devices reject <requestId>
Відхилити запит на сполучення пристрою, що очікує розгляду.
openclaw devices reject <requestId>
openclaw devices rotate --device <id> --role <role> [--scope <scope...>]
Ротувати токен пристрою для конкретної ролі (за потреби також оновлюючи scopes).
Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою;
ротація не може створити нову несхвалену роль.
Якщо ви пропустите --scope, пізніші повторні підключення зі збереженим
ротованим токеном повторно використовуватимуть кешовані схвалені scopes цього
токена. Якщо ви передасте явні значення --scope, вони стануть збереженим
набором scopes для майбутніх повторних підключень із кешованим токеном.
Викликачі без прав адміністратора, які використовують сполучений пристрій,
можуть ротувати лише токен власного пристрою.
Також будь-які явні значення --scope мають залишатися в межах власних
operator scopes сесії викликача; ротація не може створити ширший токен
operator, ніж той, який уже має викликач.
openclaw devices rotate --device <deviceId> --role operator --scope operator.read --scope operator.write
Повертає новий payload токена у форматі JSON.
openclaw devices revoke --device <id> --role <role>
Відкликати токен пристрою для конкретної ролі.
Викликачі без прав адміністратора, які використовують сполучений пристрій,
можуть відкликати лише токен власного пристрою.
Відкликання токена будь-якого іншого пристрою потребує operator.admin.
openclaw devices revoke --device <deviceId> --role node
Повертає результат відкликання у форматі JSON.
Поширені параметри
--url <url>: URL WebSocket Gateway (типово використовуєтьсяgateway.remote.url, якщо налаштовано).--token <token>: токен Gateway (за потреби).--password <password>: пароль Gateway (автентифікація паролем).--timeout <ms>: тайм-аут RPC.--json: вивід у форматі JSON (рекомендовано для сценаріїв).
Примітка: якщо ви встановлюєте --url, CLI не використовує резервно
облікові дані з конфігурації або середовища.
Передайте --token або --password явно. Відсутність явно вказаних
облікових даних є помилкою.
Примітки
- Ротація токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
- Ці команди потребують scope
operator.pairing(абоoperator.admin). gateway.nodes.pairing.autoApproveCidrs— це політика Gateway з явним увімкненням лише для початкового сполучення пристроїв Node; вона не змінює повноваження схвалення в CLI.- Ротація токена залишається в межах схваленого набору ролей сполучення та базового рівня схвалених scopes для цього пристрою. Випадковий запис кешованого токена не надає нової цілі для ротації.
- Для сесій токенів сполучених пристроїв керування іншими пристроями доступне
лише адміністраторам:
remove,rotateіrevokeдозволені лише для власного пристрою, якщо викликач не маєoperator.admin. devices clearнавмисно захищено параметром--yes.- Якщо scope сполучення недоступний на local loopback (і явний
--urlне передано),list/approveможуть використовувати локальний резервний механізм сполучення. devices approveпотребує явного ID запиту перед створенням токенів; якщоrequestIdпропущено або передано--latest, це лише показує найновіший запит, що очікує розгляду.
Контрольний список відновлення при розсинхронізації токена
Використовуйте це, коли Control UI або інші клієнти постійно завершуються з
AUTH_TOKEN_MISMATCH або AUTH_DEVICE_TOKEN_MISMATCH.
- Підтвердьте поточне джерело токена gateway:
openclaw config get gateway.auth.token
- Показати список сполучених пристроїв і визначити ID проблемного пристрою:
openclaw devices list
- Ротувати operator-токен для проблемного пристрою:
openclaw devices rotate --device <deviceId> --role operator
- Якщо ротації недостатньо, видаліть застаріле сполучення й схваліть його знову:
openclaw devices remove <deviceId>
openclaw devices list
openclaw devices approve <requestId>
- Повторіть спробу підключення клієнта з поточним спільним токеном/паролем.
Примітки:
- Звичайний пріоритет автентифікації під час повторного підключення такий: спочатку явний спільний токен/пароль, потім явний
deviceToken, потім збережений токен пристрою, потім bootstrap-токен. - Надійне відновлення після
AUTH_TOKEN_MISMATCHможе тимчасово надсилати і спільний токен, і збережений токен пристрою разом для однієї обмеженої повторної спроби.
Пов’язано: