OAuth
OpenClaw 通过 OAuth 支持提供该功能的提供商的”订阅认证”(特别是 OpenAI Codex (ChatGPT OAuth))。对于 Anthropic 订阅,请使用 setup-token 流程。本页解释:- OAuth 令牌交换的工作原理(PKCE)
- 令牌的存储位置(以及原因)
- 如何处理多个账户(配置文件 + 每会话覆盖)
令牌池(存在的原因)
OAuth 提供商通常在登录/刷新流程中生成新的刷新令牌。某些提供商(或 OAuth 客户端)可以在为同一用户/应用颁发新令牌时使旧的刷新令牌失效。 实际症状:- 您通过 OpenClaw 和 Claude Code / Codex CLI 登录 → 其中一个稍后随机”注销”
auth-profiles.json 视为令牌池:
- 运行时从一处读取凭据
- 我们可以保留多个配置文件并确定性路由
存储(令牌存储位置)
机密按代理存储:- 认证配置文件(OAuth + API 密钥):
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - 运行时缓存(自动管理;请勿编辑):
~/.openclaw/agents/<agentId>/agent/auth.json
~/.openclaw/credentials/oauth.json(首次使用时导入到auth-profiles.json)
$OPENCLAW_STATE_DIR(状态目录覆盖)。完整参考:/gateway/configuration
Anthropic setup-token(订阅认证)
在任何机器上运行claude setup-token,然后粘贴到 OpenClaw:
OAuth 交换(登录工作原理)
OpenClaw 的交互式登录流程在@mariozechner/pi-ai 中实现,并连接到向导/命令。
Anthropic(Claude Pro/Max)setup-token
流程形状:- 运行
claude setup-token - 将令牌粘贴到 OpenClaw
- 存储为令牌认证配置文件(无刷新)
openclaw onboard → 认证选择 setup-token(Anthropic)。
OpenAI Codex(ChatGPT OAuth)
流程形状(PKCE):- 生成 PKCE 验证器/质询 + 随机
state - 打开
https://auth.openai.com/oauth/authorize?... - 尝试在
http://127.0.0.1:1455/auth/callback捕获回调 - 如果回调无法绑定(或您处于远程/无头环境),粘贴重定向 URL/代码
- 在
https://auth.openai.com/oauth/token交换 - 从访问令牌中提取
accountId并存储{ access, refresh, expires, accountId }
openclaw onboard → 认证选择 openai-codex。
刷新 + 过期
配置文件存储expires 时间戳。
运行时:
- 如果
expires在未来 → 使用存储的访问令牌 - 如果已过期 → 在文件锁下刷新并覆盖存储的凭据
多个账户(配置文件)+ 路由
两种模式:1)首选:分离代理
如果您希望”个人”和”工作”永不交互,请使用隔离代理(分离的会话 + 凭据 + 工作空间):2)高级:一个代理中的多个配置文件
auth-profiles.json 支持同一提供商的多个配置文件 ID。
选择使用哪个配置文件:
- 通过配置排序全局(
auth.order) - 通过每会话
/model ...@<profileId>
/model Opus@anthropic:work
openclaw channels list --json(显示auth[])
- /concepts/model-failover(轮换 + 冷却规则)
- /tools/slash-commands(命令界面)