图标样例 原始文档

Concepts 导读

OAuth 接入:分清谁负责配对,谁负责放行群消息

OpenClaw 对 OpenAI Codex 支持 OAuth 订阅认证,对 Anthropic 则优先复用 Claude CLI 本地登录。最容易踩的坑是:多个 OAuth 客户端同时登录会互相挤掉刷新令牌,解决方案是用 auth-profiles.json 做令牌池,让所有凭证从同一位置读取。

先讲这一页到底在解决什么

OAuth 接入:分清谁负责配对,谁负责放行群消息

OpenClaw 对 OpenAI Codex 支持 OAuth 订阅认证,对 Anthropic 则优先复用 Claude CLI 本地登录。最容易踩的坑是:多个 OAuth 客户端同时登录会互相挤掉刷新令牌,解决方案是用 auth-profiles.json 做令牌池,让所有凭证从同一位置读取。

原文共 13 节,先看 Start Here 路径:/concepts/oauth 查看官方原文

第一站

🎟 先记住:OAuth 不是“账号密码”,而是“去别处换一张可用的票”

OpenClaw 支持某些供应商的 subscription auth。最典型的画面就是 OpenAI Codex OAuth。

🔐

OAuth

像先去官方门口办手续,再带着回执回到 OpenClaw。

🎫

setup-token

像一张订阅票。能用,但不是所有场景都该用。

🗝

API key

像固定门卡。很多时候最省心,也最稳。

🧾

Claude CLI login

像把你已经在别处办好的门卡,搬到 OpenClaw 这边继续用。

第二站

🧺 为什么要有 token sink?因为新票可能会把旧票挤掉

官方说得很现实:有些服务一发新 refresh token,旧 token 就可能失效。于是 OpenClaw 把 auth-profiles.json 当成一只“接票篮子”。

token sink

像把所有凭证先统一放在一个安全抽屉里,别让多个工具各自揣一张,最后彼此顶掉。

多处登录会互相影响

像同一把门卡在两台机器上来回复制,结果最后某一台突然说“卡失效了”。

单一来源

OpenClaw 让 runtime 只从一个地方读凭证,这样更容易追踪,也更不容易乱。

📌 一句话

不是为了多此一举,而是为了不让凭证在各处打架。

第三站

🗄 凭证住哪儿?住在每个 agent 自己的小保险箱里

这页非常强调“per-agent”。意思是,每个 agent 都有自己的保险箱,别把所有钥匙混在一个口袋里。

🧰

~/.openclaw/agents/<agentId>/agent/auth-profiles.json

像某个 agent 的专属钥匙柜,里面放 OAuth 和 API key 这些门票。

🪞

Legacy auth.json

像旧柜门。还能认,但官方已经把主柜换到更现代的抽屉上了。

📥

OAuth import file

像老票据先收进临时袋,再慢慢搬进正式柜子。

🎈

一句话

每个 agent 一套门票,不要混装。

Anthropic 路线

🎟 setup-token 像“订阅票”,Claude CLI 像“把现成门卡搬过来”

官方把 Anthropic 的两条路写得很明确:一个是 setup-token,一个是本地 Claude CLI 登录迁移。

openclaw models auth setup-token --provider anthropic

像去 Anthropic 那边领一张订阅票,然后塞进 OpenClaw 的门禁夹里。

openclaw models auth paste-token --provider anthropic

如果票是在别的地方拿的,就手动贴回来。

openclaw models auth login --provider anthropic --method cli --set-default

像把 Claude CLI 已经办好的门卡,搬进 OpenClaw 的新门禁柜里,还顺手把默认走哪扇门也改掉。

openclaw onboard --auth-choice anthropic-cli

像新手老师在开门时直接问你:“你想走这条现成路线吗?”

OpenAI 路线

🌐 OpenAI Codex OAuth 像“带着回执来开门”

这条路更像标准 OAuth。OpenClaw 先带你去授权,再把回执和刷新票据安全收起来。

openclaw onboard --auth-choice openai-codex

像新手老师说:“今天你要走 OpenAI 这条正规授权路。”

PKCE

像先拿一对临时配对小卡片,防止别人偷走中间回执。

本地回调口

OpenClaw 会试着在 127.0.0.1:1455 接住回执。接不住时,就让你把回跳地址贴回来。

刷新后重写

登录后的凭证会带着 expires。过期了就自动刷新,再塞回抽屉,不用你天天手工盯。

多账号

👥 多个账号别抢同一个抽屉,要么分柜子,要么分标签

这页把“多个账号”讲得很稳。最推荐的办法是分 agent;更高级的办法是在一个 agent 里放多个 profile。

1

分 agent

像给工作和私人各配一个房间。最稳,也最不容易串台。

2

一个 agent 多 profile

像同一个房间里放多个带标签的小抽屉。要用哪张票,靠顺序或会话 override 选。

🏷

/model Opus@anthropic:work

像对前台说:“这次别拿默认那张票,拿工作用那张。”

📌

一句话

账号越多,越要让它们各回各的抽屉。

最后总结

🎈 把这页压成一句最短的话

OAuth 这页讲的是:把登录票据从别处安全搬回来,放进每个 agent 自己的抽屉里,再按 profile 和会话规则稳稳取用。

下一页如果你想看“在线状态和设备名单怎么像小卡片一样挂出来”,就去 /concepts/presence