/ から提供されるブラウザ Control UI です
(gateway.controlUi.basePath で上書き可能)。
クイックオープン(ローカル Gateway):
主要な参照先:
- Control UI - 使用方法と UI 機能について
- Tailscale - Serve/Funnel 自動化について
- Web surfaces - バインドモードとセキュリティに関する注意事項
connect.params.auth(トークンまたはパスワード)を介して強制されます。Gateway 設定の gateway.auth を参照してください。
セキュリティに関する注意:Control UI は管理者用サーフェスです(チャット、設定、実行承認)。
公開しないでください。UI は現在のブラウザタブセッションと選択された Gateway URL のために sessionStorage にダッシュボード URL トークンを保持し、読み込み後に URL からそれらを削除します。
localhost、Tailscale Serve、または SSH トンネルの使用を推奨します。
高速パス(推奨)
- オンボーディング後、CLI は自動的にダッシュボードを開き、クリーンな(トークン化されていない)リンクを表示します。
- いつでも再オープン:
openclaw dashboard(リンクをコピーし、可能であればブラウザを開き、ヘッドレスの場合は SSH ヒントを表示)。 - UI が認証を求める場合は、
gateway.auth.token(またはOPENCLAW_GATEWAY_TOKEN)からトークンを Control UI 設定に貼り付けてください。
トークンの基本(ローカル vs リモート)
- Localhost:
http://127.0.0.1:18789/を開きます。 - トークンソース:
gateway.auth.token(またはOPENCLAW_GATEWAY_TOKEN);openclaw dashboardは一回限りのブートストラップのために URL フラグメント経由でそれを渡すことができ、Control UI は localStorage ではなく現在のブラウザタブセッションと選択された Gateway URL のために sessionStorage にそれを保持します。 gateway.auth.tokenが SecretRef 管理されている場合、openclaw dashboardは設計上、トークン化されていない URL を表示/コピー/オープンします。これにより、シェルログ、クリップボード履歴、またはブラウザ起動引数に外部管理されたトークンが公開されることを回避します。gateway.auth.tokenが SecretRef として設定されており、現在のシェルで未解決の場合、openclaw dashboardは引き続きトークン化されていない URL と実行可能な認証セットアップガイダンスを表示します。- Localhost 以外:Tailscale Serve(
gateway.auth.allowTailscale: trueの場合、Control UI/WebSocket に対してトークンレス、信頼された Gateway ホストを想定;HTTP API は引き続きトークン/パスワードが必要)、トークン付き tailnet バインド、または SSH トンネルを使用します。Web surfaces を参照してください。
“unauthorized” / 1008 が表示される場合
- Gateway に到達可能であることを確認します(ローカル:
openclaw status;リモート:SSH トンネルssh -N -L 18789:127.0.0.1:18789 user@hostを実行してからhttp://127.0.0.1:18789/を開く)。 - Gateway ホストからトークンを取得または提供します:
- プレーンテキスト設定:
openclaw config get gateway.auth.token - SecretRef 管理設定:外部シークレットプロバイダーを解決するか、このシェルで
OPENCLAW_GATEWAY_TOKENをエクスポートしてから、openclaw dashboardを再実行 - トークンが設定されていない場合:
openclaw doctor --generate-gateway-token
- プレーンテキスト設定:
- ダッシュボード設定で、トークンを認証フィールドに貼り付けてから接続します。