Web interfaces
Web
The Gateway stellt eine kleine browserbasierte Control UI (Vite + Lit) über denselben Port wie der Gateway WebSocket bereit:
- Standard:
http://<host>:18789/ - mit
gateway.tls.enabled: true:https://<host>:18789/ - optionales Präfix: Legen Sie
gateway.controlUi.basePathfest (z. B./openclaw)
Die Funktionen sind unter Control UI beschrieben. Der Rest dieser Seite konzentriert sich auf Bind-Modi, Sicherheit und webseitige Oberflächen.
Webhooks
Wenn hooks.enabled=true ist, stellt der Gateway außerdem einen kleinen Webhook-Endpunkt auf demselben HTTP-Server bereit.
Siehe Gateway-Konfiguration → hooks für Authentifizierung und Payloads.
Admin HTTP RPC
Admin HTTP RPC stellt ausgewählte Gateway-Control-Plane-Methoden unter POST /api/v1/admin/rpc bereit.
Es ist standardmäßig deaktiviert und wird nur registriert, wenn das Plugin admin-http-rpc aktiviert ist.
Siehe Admin HTTP RPC für das Authentifizierungsmodell, erlaubte Methoden und den WebSocket-Vergleich.
Konfiguration (standardmäßig aktiviert)
Die Control UI ist standardmäßig aktiviert, wenn Assets vorhanden sind (dist/control-ui).
Sie können sie über die Konfiguration steuern:
{ gateway: { controlUi: { enabled: true, basePath: "/openclaw" }, // basePath optional },}Tailscale-Zugriff
Integriertes Serve (empfohlen)
Belassen Sie den Gateway auf loopback und lassen Sie Tailscale Serve ihn proxien:
{ gateway: { bind: "loopback", tailscale: { mode: "serve" }, },}Starten Sie anschließend den Gateway:
openclaw gatewayÖffnen Sie:
https://<magicdns>/(oder Ihr konfiguriertesgateway.controlUi.basePath)
Tailnet-Bind + Token
{ gateway: { bind: "tailnet", controlUi: { enabled: true }, auth: { mode: "token", token: "your-token" }, },}Starten Sie anschließend den Gateway (dieses Nicht-loopback-Beispiel verwendet Authentifizierung mit gemeinsamem Geheimnis und Token):
openclaw gatewayÖffnen Sie:
http://<tailscale-ip>:18789/(oder Ihr konfiguriertesgateway.controlUi.basePath)
Öffentliches Internet (Funnel)
{ gateway: { bind: "loopback", tailscale: { mode: "funnel" }, auth: { mode: "password" }, // oder OPENCLAW_GATEWAY_PASSWORD },}Sicherheitshinweise
- Gateway-Authentifizierung ist standardmäßig erforderlich (Token, Passwort, trusted-proxy oder Tailscale Serve-Identitätsheader, wenn aktiviert).
- Nicht-loopback-Binds erfordern weiterhin Gateway-Authentifizierung. In der Praxis bedeutet das Token-/Passwortauthentifizierung oder einen identitätsbewussten Reverse Proxy mit
gateway.auth.mode: "trusted-proxy". - Der Assistent erstellt standardmäßig Authentifizierung mit gemeinsamem Geheimnis und generiert in der Regel einen Gateway-Token (auch auf loopback).
- Im Modus mit gemeinsamem Geheimnis sendet die UI
connect.params.auth.tokenoderconnect.params.auth.password. - Wenn
gateway.tls.enabled: trueist, rendern lokale Dashboard- und Status-Helferhttps://-Dashboard-URLs undwss://-WebSocket-URLs. - In Modi mit Identitätsinformationen wie Tailscale Serve oder
trusted-proxywird die WebSocket-Authentifizierungsprüfung stattdessen über Request-Header erfüllt. - Für öffentliche Nicht-loopback-Control-UI-Deployments legen Sie
gateway.controlUi.allowedOriginsexplizit fest (vollständige Origins). Private Same-Origin-LAN-/Tailnet-Ladevorgänge werden für loopback, RFC1918/link-local,.local,.ts.netund Tailscale-CGNAT-Hosts akzeptiert. gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=trueaktiviert den Host-Header-Origin-Fallback-Modus, ist aber eine gefährliche Herabstufung der Sicherheit.- Mit Serve können Tailscale-Identitätsheader die Control-UI-/WebSocket-Authentifizierung erfüllen,
wenn
gateway.auth.allowTailscaletrueist (kein Token/Passwort erforderlich). HTTP-API-Endpunkte verwenden diese Tailscale-Identitätsheader nicht; sie folgen stattdessen dem normalen HTTP-Authentifizierungsmodus des Gateways. Setzen Siegateway.auth.allowTailscale: false, um explizite Anmeldedaten zu verlangen. Siehe Tailscale und Sicherheit. Dieser tokenlose Ablauf setzt voraus, dass dem Gateway-Host vertraut wird. gateway.tailscale.mode: "funnel"erfordertgateway.auth.mode: "password"(gemeinsames Passwort).
UI erstellen
Der Gateway stellt statische Dateien aus dist/control-ui bereit. Erstellen Sie sie mit:
pnpm ui:build