OPENCLAW_GATEWAY_TOKEN是保护你 OpenClaw 网关的核心认证凭据。对它进行恰当的管理与安全维护,是确保你 AI 助手安全稳定的关键。
🔑 变量作用
OPENCLAW_GATEWAY_TOKEN主要设置你的Gateway 认证 Token:
- 认证机制:作为共享密钥,当
gateway.auth.mode="token"模式时,用于保护网关服务。 - 配置优先级:环境变量会覆盖配置文件中的同名设置。你可以通过
env | grep OPENCLAW_GATEWAY_TOKEN核查当前生效值,防止配置冲突导致意外失效。 - 值生成:建议生成一个至少32 位的强随机字符串,例如在终端执行以下命令生成:
openssl rand-hex32- 示例输出:
e0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c3d4e5f6a7b8c9d0e1
- 示例输出:
☕ 便捷用法
💻 Docker Compose
推荐使用.env文件统一管理变量。在docker-compose.yml同目录下创建该文件:
# .env 文件内容OPENCLAW_GATEWAY_TOKEN=你的强随机Token并在docker-compose.yml中通过env_file引用:
services:openclaw:# ... 其他配置env_file:-.envenvironment:-OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}🐳 Docker Run
快捷命令时,直接通过-e参数传递:
dockerrun-d\-eOPENCLAW_GATEWAY_TOKEN=你的强随机Token\-p18789:18789\your-openclaw-image如果变量较多,推荐使用--env-file .env来确保安全性。
🛡️ 安全最佳实践
- 安全生成与隔离:务必使用
openssl rand -hex 32等强随机方法生成 Token,并利用.env文件隔离配置,避免 Token 泄露在命令历史中。 - 排除泄露风险:确保
.env文件已加入.gitignore,切勿将其提交至公共仓库。 - 控制UI访问:在访问
http://127.0.0.1:18789控制面板时,需要使用此 Token 完成首次认证。 - 公共网络部署 (⚠️ 高危):如果计划将服务暴露在公网(如部署在云服务器上),务必仔细阅读官方 Security Hardening Guide 并设置严格的防火墙规则。切记:
OPENCLAW_GATEWAY_TOKEN是完整操作权限凭证,暴露此Token等同于交出服务器控制权。
🔧 故障排查
遇到认证问题时,可参考以下常见故障排查:
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 访问控制面板弹出401 Unauthorized | Token输入错误或与网关期望值不匹配。 | 请仔细核对并输入正确的Token,可运行openclaw config get gateway.token查看当前配置的值。 |
服务启动失败,日志提示Channel enabled but token not set | 在配置文件中启用了消息通道,但未设置相应的Token。 | 要么正确配置该通道所需的Token,要么在配置文件中将该通道的enabled设为false。 |
API请求返回401 | 客户端请求头中的Token与网关的不一致,或发送格式错误。 | 1.检查客户端配置的Token是否正确。 2.重启后若Token变更,需同步更新 |
✅)
