故障排查

OpenClaw 网关令牌（Gateway Token）配置与找回指南

Q: 令牌每次重启都会变化吗？

不一定。如果配置文件中已经保存了令牌，重启后令牌不会改变。只有在令牌字段缺失、被手动删除，或主动点击重新生成时，才会生成新令牌。妥善保存带令牌的控制台 URL 或书签，即可避免每次都重新查找。

Q: 忘记令牌后能找回吗，还是只能重置？

令牌以明文存储在 OpenClaw 配置文件（通常是 ~/.openclaw/openclaw.json）里的 gateway.auth.token 字段，可以直接查看。如果容器使用了数据卷挂载，在挂载目录里查找同名文件即可。如果文件无法访问，则需要重新生成。

Q: 令牌和 API Key 是同一个东西吗？

不是。网关令牌（Gateway Token）是 OpenClaw 内部用于控制台认证的凭证，与 OpenAI、Anthropic 等平台申请的 API Key 完全无关。API Key 填写在模型配置里，用于调用 AI 接口；令牌只用于验证对网关控制台本身的访问权限。

Q: 使用 OpenClaw Launch 托管服务还需要管理令牌吗？

不需要。OpenClaw Launch 的托管方案已经为每个用户的实例自动管理令牌，通过网站账号登录后直接进入控制台，无需手动复制或粘贴任何令牌。

网关令牌是访问 OpenClaw 控制台的唯一凭证。本文介绍令牌的作用、找回方法、常见报错的解决方案，以及令牌与配对（pairing）的区别。

什么是网关令牌（Gateway Token）？

网关令牌（Gateway Token）是 OpenClaw 用于保护控制台（Control UI）和管理面板的身份认证凭证。它的作用是确保只有你本人能够访问和配置自己的网关实例。

每次启动 OpenClaw 网关时，系统会自动生成或加载一个令牌，并将其附在控制台访问 URL 里（通常以 ?token=... 的形式出现）。只有持有正确令牌的请求，才能打开设置页面、连接平台或修改配置。

令牌本身是一段随机生成的字符串，具体格式取决于 OpenClaw 版本。它存储在网关的配置文件中，不会以明文形式暴露在日志里。

在哪里找到网关令牌？

有两个常用的查找位置：

方法一：查看启动时打印的 URL

当你执行 openclaw gateway（或 Docker 容器启动）时，终端会打印类似下面这样的输出：

OpenClaw Gateway started
Control UI: http://localhost:18789/?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

URL 中 ?token= 后面的部分就是你的网关令牌。直接点击这个完整 URL，或把令牌值复制下来备用。

方法二：在控制台设置（Control UI Settings）里查看

如果你已经通过完整 URL 登录了控制台，可以在控制台的设置（Settings）页面里找到当前令牌，并执行复制或重新生成操作。

通过 Docker 容器日志查看

如果你使用 Docker 运行 OpenClaw，可以通过以下命令查看启动日志来获取令牌：

docker logs <你的容器名> 2>&1 | grep "Control UI"

输出中会包含带令牌的完整访问 URL。

报错 "unauthorized: gateway token missing" 的含义与解决

如果你在使用 OpenClaw 时看到如下报错：

unauthorized: gateway token missing
(open the dashboard url and paste the token in control ui settings)

这说明当前的请求没有携带有效的网关令牌，控制台无法验证你的身份。常见原因包括：

直接输入了 http://localhost:18789/ 这样的裸 URL，没有带 ?token=... 参数
浏览器里保存的书签是没有令牌的旧 URL
令牌在控制台设置里被清空或遗漏

解决步骤

按以下步骤操作即可恢复访问：

# 第一步：查看启动日志，获取带令牌的完整 URL
docker logs <容器名> 2>&1 | grep "Control UI"

# 或者，如果你直接在终端运行 openclaw：
# 查看终端里最初打印的 Control UI 行

# 第二步：在浏览器中打开完整的 URL（包含 ?token=... 部分）
# 例如：http://localhost:18789/?token=eyJhb...

# 第三步（可选）：在控制台设置里保存令牌，避免下次再手动填写

如果你的控制台设置页面有"令牌"输入框，把从 URL 里复制的令牌字符串粘贴进去，保存即可。

令牌泄露或填错时如何重新生成

如果你认为令牌已经泄露、被他人获取，或者不小心填入了错误的令牌，可以通过以下方式重新生成：

方法一：在控制台设置里重新生成

使用当前有效的完整 URL 登录控制台，进入设置页面，找到令牌管理选项，点击"重新生成"（Regenerate）。旧令牌立即失效，新令牌会在页面显示并附在新的 URL 里。

方法二：修改配置文件后重启

你也可以在 OpenClaw 的配置文件（~/.openclaw/openclaw.json 或挂载目录下的对应文件）中删除或修改 gateway.auth.token 字段，然后重启容器，网关会重新生成一个新令牌：

# 重启 Docker 容器
docker restart <你的容器名>

# 重启后查看新令牌
docker logs <你的容器名> 2>&1 | grep "Control UI"

重新生成令牌后，所有使用旧令牌的书签或链接都会失效，请及时更新。

令牌（Token）与配对（Pairing）的区别

这是使用 OpenClaw 时最容易混淆的两个概念，区别如下：

概念	用途	使用场景
网关令牌（Gateway Token）	控制台登录认证 — 证明你是网关的管理员	打开控制台 URL、访问设置页面、修改配置时使用
配对码（Pairing Code）	把聊天平台（如 Telegram）关联到网关	在 Telegram 里向机器人发送配对码，完成平台绑定

简单来说：令牌是你管理网关的"钥匙"，配对是把对话渠道"接入"网关的过程，两者完全独立，互不替代。如果你的 Telegram 无法收到回复，排查的是配对问题，而不是令牌问题；如果控制台无法打开，才需要检查令牌。

HTTP 明文访问时的特殊设置

默认情况下，OpenClaw 控制台只在 HTTPS 连接下允许令牌认证，以防止令牌在传输途中被截获。如果你的部署环境只有 HTTP（例如本地测试或内网环境），控制台可能提示不允许通过非加密连接提交令牌。

此时可以在配置文件中添加以下选项来显式允许 HTTP 下的令牌认证（仅适用于令牌方式，不影响其他安全设置）：

# ~/.openclaw/openclaw.json 或挂载目录下的配置文件
{
  "gateway": {
    "controlUi": {
      "allowInsecureAuth": true
    }
  }
}

注意：此选项仅用于开发或受信内网环境。在公网部署时，强烈建议通过反向代理（如 Nginx、Caddy）配置 HTTPS，而不是启用 allowInsecureAuth。

如果你使用 OpenClaw Launch 托管服务，网关默认通过 HTTPS 访问，无需任何额外配置。

常见问题 (FAQ)

令牌每次重启都会变化吗？

不一定。如果配置文件中已经保存了令牌，重启后令牌不会改变。只有在令牌字段缺失、被手动删除，或主动点击"重新生成"时，才会生成新令牌。因此，妥善保存带令牌的控制台 URL 或书签，即可避免每次都重新查找。

忘记令牌后能找回吗，还是只能重置？

令牌以明文存储在 OpenClaw 的配置文件（通常是 ~/.openclaw/openclaw.json）里的 gateway.auth.token 字段，可以直接查看：

jq -r '.gateway.auth.token' ~/.openclaw/openclaw.json

如果容器使用了数据卷挂载，在挂载目录里查找同名文件即可。找到后复制该值，拼接到控制台 URL 后面打开。如果文件无法访问，则需要重新生成。

令牌和 API Key 是同一个东西吗？

不是。网关令牌（Gateway Token）是 OpenClaw 内部用于控制台认证的凭证，与你在 OpenAI、Anthropic 等平台申请的 API Key 完全无关。API Key 填写在模型配置里，用于调用 AI 接口；令牌只用于验证你对网关控制台本身的访问权限。

使用 OpenClaw Launch 托管服务还需要管理令牌吗？

不需要。OpenClaw Launch 的托管方案已经为每个用户的实例自动管理令牌，你通过网站账号登录后直接进入控制台，无需手动复制或粘贴任何令牌。适合不想处理这类运维细节的用户。