Web(Gateway 网关)
Gateway 网关从与 Gateway 网关 WebSocket 相同的端口提供一个小型浏览器 Control UI(Vite + Lit):- 默认:
http://<host>:18789/ - 可选前缀:设置
gateway.controlUi.basePath(例如/openclaw)
Webhooks
当hooks.enabled=true 时,Gateway 网关还在同一 HTTP 服务器上公开一个小型 webhook 端点。
参见 Gateway 网关配置 → hooks 了解认证 + 载荷。
See Gateway configuration → hooks for auth + payloads.
配置(默认开启)
当资源存在时(dist/control-ui),Control UI 默认启用。
你可以通过配置控制它:
You can control it via config:
Tailscale 访问
集成 Serve(推荐)
保持 Gateway 网关在本地回环上,让 Tailscale Serve 代理它:https://<magicdns>/(或你配置的gateway.controlUi.basePath)
Tailnet 绑定 + 令牌
http://<tailscale-ip>:18789/(或你配置的gateway.controlUi.basePath)
公共互联网(Funnel)
安全注意事项
- Gateway 网关认证默认是必需的(令牌/密码或 Tailscale 身份头)。
- 非本地回环绑定仍然需要共享令牌/密码(
gateway.auth或环境变量)。 - 向导默认生成 Gateway 网关令牌(即使在本地回环上)。
- UI 发送
connect.params.auth.token或connect.params.auth.password。 - Control UI 会发送防点击劫持的头,并且仅接受同源浏览器的 websocket 连接,除非设置了
gateway.controlUi.allowedOrigins。 - 使用 Serve 时,当
gateway.auth.allowTailscale为true时,Tailscale 身份头可以满足认证(无需令牌/密码)。设置gateway.auth.allowTailscale: false以要求显式凭证。参见 Tailscale 和 安全。 设置gateway.auth.allowTailscale: false以要求显式凭据。 参见 Tailscale 和 安全。 gateway.tailscale.mode: "funnel"需要gateway.auth.mode: "password"(共享密码)。
构建 UI
Gateway 网关从dist/control-ui 提供静态文件。使用以下命令构建: 使用以下命令构建: