OAuth
OpenClaw 通过 OAuth 支持“订阅身份验证”,适用于提供此功能的提供商(尤其是 OpenAI Codex (ChatGPT OAuth))。对于 Anthropic 订阅,请使用 setup-token 流程。本页面将介绍:- OAuth 令牌交换的工作原理(PKCE)
- 令牌的 存储位置(以及原因)
- 如何处理 多个账户(配置文件 + 每会话覆盖)
令牌接收器(为何存在)
OAuth 提供商通常会在登录或刷新流程中生成一个 新的刷新令牌。某些提供商(或 OAuth 客户端)在为同一用户/应用颁发新刷新令牌时,可能会使旧的刷新令牌失效。 实际表现:- 您通过 OpenClaw 和 Claude Code/Codex CLI 同时登录 → 其中一个随后会随机“登出”
auth-profiles.json 视为 令牌接收器:
- 运行时从 单一位置 读取凭据
- 我们可以保存多个配置文件,并以确定性方式路由它们
存储(令牌的存放位置)
凭据按 代理 存储:- 身份验证配置文件(OAuth + API 密钥):
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - 运行时缓存(自动管理;请勿手动编辑):
~/.openclaw/agents/<agentId>/agent/auth.json
~/.openclaw/credentials/oauth.json(首次使用时导入到auth-profiles.json中)
$OPENCLAW_STATE_DIR(状态目录覆盖)。完整参考:/gateway/configuration
Anthropic setup-token(订阅身份验证)
在任意机器上运行claude setup-token,然后将其粘贴到 OpenClaw 中:
OAuth 交换(登录的工作原理)
OpenClaw 的交互式登录流程由@mariozechner/pi-ai 实现,并与向导和命令集成。
Anthropic(Claude Pro/Max)setup-token
流程步骤:- 运行
claude setup-token - 将令牌粘贴到 OpenClaw
- 作为令牌身份验证配置文件存储(无刷新)
openclaw onboard → 身份验证选项 setup-token(Anthropic)。
OpenAI Codex(ChatGPT OAuth)
流程步骤(PKCE):- 生成 PKCE 验证器/质询 + 随机
state - 打开
https://auth.openai.com/oauth/authorize?... - 尝试捕获
http://127.0.0.1:1455/auth/callback上的回调 - 如果无法绑定回调(或您处于远程/无头模式),则粘贴重定向 URL/代码
- 在
https://auth.openai.com/oauth/token处进行交换 - 从访问令牌中提取
accountId,并存储{ access, refresh, expires, accountId }
openclaw onboard → 身份验证选项 openai-codex。
刷新与过期
配置文件存储一个expires 时间戳。
运行时:
- 如果
expires在未来 → 使用存储的访问令牌 - 如果已过期 → 在文件锁保护下刷新,并覆盖存储的凭据
多个账户(配置文件)+ 路由
两种模式:1) 推荐:使用独立代理
如果您希望“个人”和“工作”永远不会相互影响,请使用隔离的代理(独立会话 + 凭据 + 工作区):2) 高级:在一个代理中使用多个配置文件
auth-profiles.json 支持同一提供商的多个配置文件 ID。
选择使用的配置文件:
- 通过配置排序全局指定(
auth.order) - 通过
/model ...@<profileId>指定每会话使用的配置文件
/model Opus@anthropic:work
openclaw channels list --json(显示auth[])
- /concepts/model-failover(轮换 + 冷却规则)
- /tools/slash-commands(命令界面)