OAuth
OpenClaw 支持通过 OAuth 进行"订阅认证"(特别是 OpenAI Codex (ChatGPT OAuth))。对于 Anthropic 订阅,使用 setup-token 流程。
令牌存储(为什么存在)
OAuth 提供商通常在登录/刷新流程中生成新的刷新令牌。某些提供商(或 OAuth 客户端)在为同一用户/应用颁发新令牌时可以使旧刷新令牌失效。
实际症状:
- 你通过 OpenClaw 登录,也通过 Claude Code / Codex CLI 登录 → 之后其中一个随机"被注销"
为减少这种情况,OpenClaw 将 auth-profiles.json 视为令牌接收器:
- 运行时从一个地方读取凭据
- 我们可以保留多个配置文件并确定性路由
存储位置
凭据按智能体存储:
- 认证配置文件(OAuth + API 密钥):
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - 运行时缓存(自动管理;不要编辑):
~/.openclaw/agents/<agentId>/agent/auth.json
传统导入专用文件(仍支持,但非主要存储):
~/.openclaw/credentials/oauth.json(在首次使用时导入到auth-profiles.json)
Anthropic setup-token(订阅认证)
在任意机器上运行 claude setup-token,然后粘贴到 OpenClaw:
bash
openclaw models auth setup-token --provider anthropic如果在其他地方生成了令牌,手动粘贴:
bash
openclaw models auth paste-token --provider anthropic验证:
bash
openclaw models statusOAuth 交换(登录如何工作)
Anthropic (Claude Pro/Max) setup-token
流程:
- 运行
claude setup-token - 将令牌粘贴到 OpenClaw
- 存储为令牌认证配置文件(无刷新)
向导路径:openclaw onboard → 认证选择 setup-token(Anthropic)。
OpenAI Codex (ChatGPT OAuth)
流程(PKCE):
- 生成 PKCE 验证器/挑战 + 随机
state - 打开
https://auth.openai.com/oauth/authorize?... - 尝试在
http://127.0.0.1:1455/auth/callback捕获回调 - 如果无法绑定回调(或远程/无头),粘贴重定向 URL/code
- 在
https://auth.openai.com/oauth/token交换 - 从访问令牌提取
accountId并存储{ access, refresh, expires, accountId }
向导路径:openclaw onboard → 认证选择 openai-codex。
刷新 + 过期
配置文件存储 expires 时间戳。
在运行时:
- 如果
expires在未来 → 使用存储的访问令牌 - 如果已过期 → 刷新(在文件锁下)并覆盖存储的凭据
刷新流程是自动的;通常不需要手动管理令牌。
多账户(配置文件)+ 路由
两种模式:
1) 推荐:分离的智能体
如果希望"个人"和"工作"永不交互,使用隔离的智能体(分离的会话 + 凭据 + 工作区):
bash
openclaw agents add work
openclaw agents add personal然后为每个智能体配置认证(向导)并将聊天路由到正确的智能体。
2) 高级:一个智能体中的多个配置文件
auth-profiles.json 支持同一提供商的多个配置文件 ID。
选择使用哪个配置文件:
- 全局通过配置排序(
auth.order) - 每会话通过
/model ...@<profileId>
示例(会话覆盖):
/model Opus@anthropic:work
查看存在的配置文件 ID:
openclaw channels list --json(显示auth[])