Web 界面（Gateway）

Gateway 在与 WebSocket 相同的端口上提供一个小型浏览器控制面板（Vite + Lit）：

功能详情见控制面板。本页重点介绍绑定模式、安全和面向 Web 的界面。

Webhook

当 hooks.enabled=true 时，Gateway 也在同一个 HTTP 服务器上暴露一个小型 webhook 端点。详见 Gateway 配置 → hooks 的认证和 payload 说明。

控制面板在资源文件存在时（dist/control-ui）默认开启。可以通过配置控制：

{
  gateway: {
    controlUi: { enabled: true, basePath: "/openclaw" }, // basePath 可选
  },
}

让 Gateway 绑定回环地址，由 Tailscale Serve 代理：

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" },
  },
}

然后启动 gateway：

openclaw gateway

打开：

{
  gateway: {
    bind: "tailnet",
    controlUi: { enabled: true },
    auth: { mode: "token", token: "your-token" },
  },
}

然后启动 gateway（非回环绑定需要 token）：

openclaw gateway

打开：

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password" }, // 或 OPENCLAW_GATEWAY_PASSWORD
  },
}

Gateway 认证默认必需（token/密码或 Tailscale 身份头）。
非回环绑定仍然要求共享 token/密码（gateway.auth 或环境变量）。
引导向导默认生成 gateway token（即使在回环地址上）。
UI 通过 connect.params.auth.token 或 connect.params.auth.password 发送认证。
非回环的控制面板部署需要显式设置 gateway.controlUi.allowedOrigins（完整 origin）。不设置时，gateway 启动会被拒绝。
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true 启用 Host 头 origin 回退模式，但这是一个危险的安全降级。
使用 Serve 时，当 gateway.auth.allowTailscale 为 true 时，Tailscale 身份头可满足控制面板/WebSocket 认证（不需要 token/密码）。HTTP API 端点仍然需要 token/密码。设置 gateway.auth.allowTailscale: false 可要求显式凭据。详见 Tailscale 和安全。这种无 token 的流程假设 gateway 主机可信。
gateway.tailscale.mode: "funnel" 要求 gateway.auth.mode: "password"（共享密码）。

Gateway 从 dist/control-ui 提供静态文件。构建命令：

pnpm ui:build # 首次运行时自动安装 UI 依赖