---
read_when:
    - Ви схвалюєте запити на сполучення пристроїв
    - Потрібно ротувати або відкликати токени пристроїв
summary: Довідник CLI для `openclaw devices` (сполучення пристрою + ротація/відкликання токенів)
title: Пристрої
x-i18n:
    generated_at: "2026-05-11T20:27:19Z"
    model: gpt-5.5
    provider: openai
    source_hash: b38caf47697d5fd6c630285c53919f3a5eaf704b1992e57adb1902e20e2a0fc0
    source_path: cli/devices.md
    workflow: 16
---

# `openclaw devices`

Керуйте запитами на сполучення пристроїв і токенами з областю дії пристрою.

## Команди

### `openclaw devices list`

Вивести список запитів на сполучення, що очікують, і сполучених пристроїв.

```
openclaw devices list
openclaw devices list --json
```

Вивід запиту, що очікує, показує запитаний доступ поруч із поточним
схваленим доступом пристрою, якщо пристрій уже сполучено. Це робить підвищення
області дії/ролі явним, а не таким, що виглядає як втрачене сполучення.

### `openclaw devices remove <deviceId>`

Видалити один запис сполученого пристрою.

Коли ви автентифіковані токеном сполученого пристрою, викликачі без прав адміністратора можуть
видалити лише запис **свого власного** пристрою. Видалення іншого пристрою потребує
`operator.admin`.

```
openclaw devices remove <deviceId>
openclaw devices remove <deviceId> --json
```

### `openclaw devices clear --yes [--pending]`

Масово очистити сполучені пристрої.

```
openclaw devices clear --yes
openclaw devices clear --yes --pending
openclaw devices clear --yes --pending --json
```

### `openclaw devices approve [requestId] [--latest]`

Схвалити запит на сполучення пристрою, що очікує, за точним `requestId`. Якщо `requestId`
пропущено або передано `--latest`, OpenClaw лише виводить вибраний запит, що очікує,
і завершує роботу; повторно запустіть схвалення з точним ідентифікатором запиту після перевірки
деталей.

<Note>
Якщо пристрій повторно намагається виконати сполучення зі зміненими даними автентифікації (роль, області дії або публічний ключ), OpenClaw замінює попередній запис, що очікує, і видає новий `requestId`. Запустіть `openclaw devices list` безпосередньо перед схваленням, щоб використати поточний ідентифікатор.
</Note>

Якщо пристрій уже сполучено й він запитує ширші області дії або ширшу роль,
OpenClaw залишає чинне схвалення на місці й створює новий запит на підвищення,
що очікує. Перегляньте стовпці `Requested` і `Approved` в `openclaw devices list`
або використайте `openclaw devices approve --latest`, щоб попередньо переглянути точне підвищення перед
його схваленням.

Якщо Gateway явно налаштовано з
`gateway.nodes.pairing.autoApproveCidrs`, перші запити `role: node` від
відповідних IP-адрес клієнтів можуть бути схвалені до появи в цьому списку. Ця політика
типово вимкнена й ніколи не застосовується до клієнтів operator/browser або запитів
на підвищення.

```
openclaw devices approve
openclaw devices approve <requestId>
openclaw devices approve --latest
```

### `openclaw devices reject <requestId>`

Відхилити запит на сполучення пристрою, що очікує.

```
openclaw devices reject <requestId>
```

### `openclaw devices rotate --device <id> --role <role> [--scope <scope...>]`

Оновити токен пристрою для певної ролі (за потреби оновивши області дії).
Цільова роль уже має існувати в схваленому контракті сполучення цього пристрою;
оновлення не може створити нову несхвалену роль.
Якщо ви пропустите `--scope`, подальші повторні підключення зі збереженим оновленим токеном повторно використовуватимуть
кешовані схвалені області дії цього токена. Якщо передати явні значення `--scope`, вони
стануть збереженим набором областей дії для майбутніх повторних підключень із кешованим токеном.
Викликачі зі сполученим пристроєм без прав адміністратора можуть оновлювати лише токен **свого власного** пристрою.
Цільовий набір областей дії токена має залишатися в межах власних operator
областей дії сеансу викликача; оновлення не може створити або зберегти ширший operator токен, ніж той,
який уже має викликач.

```
openclaw devices rotate --device <deviceId> --role operator --scope operator.read --scope operator.write
```

Повертає метадані оновлення у форматі JSON. Якщо викликач оновлює власний токен, будучи
автентифікованим цим токеном пристрою, відповідь також містить замінний
токен, щоб клієнт міг зберегти його перед повторним підключенням. Спільні/адміністративні оновлення
не виводять bearer token.

### `openclaw devices revoke --device <id> --role <role>`

Відкликати токен пристрою для певної ролі.

Викликачі зі сполученим пристроєм без прав адміністратора можуть відкликати лише токен **свого власного** пристрою.
Відкликання токена іншого пристрою потребує `operator.admin`.
Цільовий набір областей дії токена також має вкладатися у власні operator
області дії сеансу викликача; викликачі лише зі сполученням не можуть відкликати admin/write operator токени.

```
openclaw devices revoke --device <deviceId> --role node
```

Повертає результат відкликання у форматі JSON.

## Поширені параметри

- `--url <url>`: URL WebSocket Gateway (типово `gateway.remote.url`, якщо налаштовано).
- `--token <token>`: токен Gateway (якщо потрібен).
- `--password <password>`: пароль Gateway (автентифікація паролем).
- `--timeout <ms>`: тайм-аут RPC.
- `--json`: вивід JSON (рекомендовано для сценаріїв).

<Warning>
Коли ви задаєте `--url`, CLI не повертається до облікових даних із конфігурації або середовища. Передайте `--token` або `--password` явно. Відсутність явних облікових даних є помилкою.
</Warning>

## Примітки

- Оновлення токена повертає новий токен (чутливі дані). Поводьтеся з ним як із секретом.
- Ці команди потребують області дії `operator.pairing` (або `operator.admin`). Деякі
  схвалення також потребують, щоб викликач мав operator області дії, які цільовий
  пристрій створив би або успадкував би; див. [Operator scopes](/uk/gateway/operator-scopes).
- `gateway.nodes.pairing.autoApproveCidrs` — це opt-in політика Gateway лише для
  нового сполучення пристрою node; вона не змінює повноваження CLI на схвалення.
- Оновлення та відкликання токенів залишаються в межах схваленого набору ролей сполучення й
  схваленої базової області дії для цього пристрою. Випадковий запис кешованого токена не
  надає ціль для керування токенами.
- Для сеансів із токенами сполучених пристроїв міжпристроєве керування доступне лише адміністраторам:
  `remove`, `rotate` і `revoke` діють лише на власний пристрій, якщо викликач не має
  `operator.admin`.
- Зміна токена також обмежена областями дії викликача: сеанс лише зі сполученням не може
  оновити або відкликати токен, який зараз має `operator.admin` або
  `operator.write`.
- `devices clear` навмисно захищено прапорцем `--yes`.
- Якщо область дії сполучення недоступна на local loopback (і не передано явний `--url`), list/approve можуть використати локальний резервний механізм сполучення.
- `devices approve` потребує явного ідентифікатора запиту перед створенням токенів; пропуск `requestId` або передавання `--latest` лише попередньо показує найновіший запит, що очікує.

## Контрольний список відновлення після розсинхронізації токенів

Використовуйте це, коли Control UI або інші клієнти продовжують відмовляти з `AUTH_TOKEN_MISMATCH`, `AUTH_DEVICE_TOKEN_MISMATCH` або `AUTH_SCOPE_MISMATCH`.

1. Підтвердьте поточне джерело токена gateway:

```bash
openclaw config get gateway.auth.token
```

2. Виведіть список сполучених пристроїв і визначте ідентифікатор ураженого пристрою:

```bash
openclaw devices list
```

3. Оновіть operator токен для ураженого пристрою:

```bash
openclaw devices rotate --device <deviceId> --role operator
```

4. Якщо оновлення недостатньо, видаліть застаріле сполучення й схваліть знову:

```bash
openclaw devices remove <deviceId>
openclaw devices list
openclaw devices approve <requestId>
```

5. Повторіть підключення клієнта з поточним спільним токеном/паролем.

Примітки:

- Звичайний пріоритет автентифікації під час повторного підключення: спершу явний спільний токен/пароль, потім явний `deviceToken`, потім збережений токен пристрою, потім bootstrap token.
- Довірене відновлення `AUTH_TOKEN_MISMATCH` може тимчасово надіслати і спільний токен, і збережений токен пристрою разом для однієї обмеженої повторної спроби.
- `AUTH_SCOPE_MISMATCH` означає, що токен пристрою було розпізнано, але він не містить запитаного набору областей дії; виправте контракт схвалення сполучення/областей дії перед зміною спільної автентифікації gateway.

Пов’язане:

- [Усунення неполадок автентифікації Dashboard](/uk/web/dashboard#if-you-see-unauthorized-1008)
- [Усунення неполадок Gateway](/uk/gateway/troubleshooting#dashboard-control-ui-connectivity)

## Пов’язане

- [Довідник CLI](/uk/cli)
- [Вузли](/uk/nodes)