--- read_when: - Зміна режимів автентифікації або відкритості панелі керування summary: Доступ до панелі Gateway (інтерфейсу керування) та автентифікація title: Панель керування x-i18n: generated_at: "2026-05-11T21:04:37Z" model: gpt-5.5 provider: openai source_hash: 07e11c1f71e6691ee053192e238a3b48568f81c3180e6b5f8e21b6874417e57e source_path: web/dashboard.md workflow: 16 --- Інформаційна панель Gateway — це браузерний інтерфейс керування, який за замовчуванням обслуговується за адресою `/` (можна перевизначити через `gateway.controlUi.basePath`). Швидке відкриття (локальний Gateway): - [http://127.0.0.1:18789/](http://127.0.0.1:18789/) (або [http://localhost:18789/](http://localhost:18789/)) - З `gateway.tls.enabled: true` використовуйте `https://127.0.0.1:18789/` і `wss://127.0.0.1:18789` для кінцевої точки WebSocket. Ключові посилання: - [Інтерфейс керування](/uk/web/control-ui) для використання та можливостей UI. - [Tailscale](/uk/gateway/tailscale) для автоматизації Serve/Funnel. - [Вебповерхні](/uk/web) для режимів прив’язки та приміток щодо безпеки. Автентифікація застосовується під час WebSocket handshake через налаштований шлях автентифікації gateway: - `connect.params.auth.token` - `connect.params.auth.password` - заголовки ідентичності Tailscale Serve, коли `gateway.auth.allowTailscale: true` - заголовки ідентичності trusted-proxy, коли `gateway.auth.mode: "trusted-proxy"` Див. `gateway.auth` у [конфігурації Gateway](/uk/gateway/configuration). Примітка щодо безпеки: інтерфейс керування є **адміністративною поверхнею** (чат, конфігурація, схвалення виконання). Не відкривайте його для публічного доступу. UI зберігає токени URL інформаційної панелі в sessionStorage для поточної сесії вкладки браузера та вибраної URL-адреси gateway, а після завантаження видаляє їх з URL. Віддавайте перевагу localhost, Tailscale Serve або SSH-тунелю. ## Швидкий шлях (рекомендовано) - Після початкового налаштування CLI автоматично відкриває інформаційну панель і виводить чисте посилання (без токена). - Відкрити повторно будь-коли: `openclaw dashboard` (копіює посилання, відкриває браузер, якщо можливо, показує підказку SSH у headless-режимі). - Якщо доставлення через буфер обміну та браузер не вдалося, `openclaw dashboard` все одно виводить чистий URL і повідомляє використати токен з `OPENCLAW_GATEWAY_TOKEN` або `gateway.auth.token` як ключ фрагмента URL `token`; значення токенів у журнали не виводяться. - Якщо UI запитує автентифікацію за спільним секретом, вставте налаштований токен або пароль у налаштування інтерфейсу керування. ## Основи автентифікації (локально й віддалено) - **Localhost**: відкрийте `http://127.0.0.1:18789/`. - **Gateway TLS**: коли `gateway.tls.enabled: true`, посилання інформаційної панелі/статусу використовують `https://`, а WebSocket-посилання інтерфейсу керування використовують `wss://`. - **Джерело токена спільного секрету**: `gateway.auth.token` (або `OPENCLAW_GATEWAY_TOKEN`); `openclaw dashboard` може передати його через фрагмент URL для одноразового bootstrap, а інтерфейс керування зберігає його в sessionStorage для поточної сесії вкладки браузера та вибраної URL-адреси gateway замість localStorage. - Якщо `gateway.auth.token` керується SecretRef, `openclaw dashboard` навмисно виводить/копіює/відкриває URL без токена. Це запобігає розкриттю зовнішньо керованих токенів у журналах shell, історії буфера обміну або аргументах запуску браузера. - Якщо `gateway.auth.token` налаштовано як SecretRef і він не розв’язується у вашому поточному shell, `openclaw dashboard` все одно виводить URL без токена разом із практичними вказівками з налаштування автентифікації. - **Пароль спільного секрету**: використовуйте налаштований `gateway.auth.password` (або `OPENCLAW_GATEWAY_PASSWORD`). Інформаційна панель не зберігає паролі між перезавантаженнями. - **Режими з ідентичністю**: Tailscale Serve може задовольнити автентифікацію інтерфейсу керування/WebSocket через заголовки ідентичності, коли `gateway.auth.allowTailscale: true`, а reverse proxy з урахуванням ідентичності поза loopback може задовольнити `gateway.auth.mode: "trusted-proxy"`. У цих режимах інформаційній панелі не потрібен вставлений спільний секрет для WebSocket. - **Не localhost**: використовуйте Tailscale Serve, прив’язку зі спільним секретом поза loopback, reverse proxy з урахуванням ідентичності поза loopback із `gateway.auth.mode: "trusted-proxy"` або SSH-тунель. HTTP API все одно використовують автентифікацію за спільним секретом, якщо ви навмисно не запускаєте private-ingress `gateway.auth.mode: "none"` або HTTP-автентифікацію trusted-proxy. Див. [Вебповерхні](/uk/web). ## Якщо ви бачите "unauthorized" / 1008 - Переконайтеся, що gateway доступний (локально: `openclaw status`; віддалено: SSH-тунель `ssh -N -L 18789:127.0.0.1:18789 user@host`, потім відкрийте `http://127.0.0.1:18789/`). - Для `AUTH_TOKEN_MISMATCH` клієнти можуть виконати одну довірену повторну спробу з кешованим токеном пристрою, коли gateway повертає підказки для повторної спроби. Ця повторна спроба з кешованим токеном повторно використовує кешовані схвалені області дії токена; виклики з явним `deviceToken` / явними `scopes` зберігають свій запитаний набір областей дії. Якщо після цієї повторної спроби автентифікація все ще не вдається, усуньте розбіжність токенів вручну. - Для `AUTH_SCOPE_MISMATCH` токен пристрою було розпізнано, але він не містить запитаних інформаційною панеллю областей дії; повторно створіть пару або схваліть запитаний контракт областей дії замість ротації спільного токена gateway. - Поза цим шляхом повторної спроби пріоритет автентифікації підключення такий: спочатку явний спільний токен/пароль, потім явний `deviceToken`, потім збережений токен пристрою, потім bootstrap-токен. - На асинхронному шляху інтерфейсу керування Tailscale Serve невдалі спроби для того самого `{scope, ip}` серіалізуються до того, як обмежувач невдалої автентифікації їх запише, тому друга одночасна невдала повторна спроба вже може показати `retry later`. - Для кроків виправлення розбіжності токенів дотримуйтеся [контрольного списку відновлення після розбіжності токенів](/uk/cli/devices#token-drift-recovery-checklist). - Отримайте або надайте спільний секрет з хоста gateway: - Токен: `openclaw config get gateway.auth.token` - Пароль: розв’яжіть налаштований `gateway.auth.password` або `OPENCLAW_GATEWAY_PASSWORD` - Токен, керований SecretRef: розв’яжіть зовнішнього постачальника секретів або експортуйте `OPENCLAW_GATEWAY_TOKEN` у цьому shell, потім повторно запустіть `openclaw dashboard` - Спільний секрет не налаштовано: `openclaw doctor --generate-gateway-token` - У налаштуваннях інформаційної панелі вставте токен або пароль у поле автентифікації, потім підключіться. - Перемикач мови UI розташований у **Огляд -> Доступ до Gateway -> Мова**. Він є частиною картки доступу, а не розділу Appearance. ## Пов’язане - [Інтерфейс керування](/uk/web/control-ui) - [WebChat](/uk/web/webchat)