Technical reference
SecretRef-inloggegevensoppervlak
Deze pagina definieert het canonieke referentievlak voor SecretRef-inloggegevens: welke velden voor inloggegevens een SecretRef (een door env/bestand/exec ondersteunde verwijzing) accepteren in plaats van een onbewerkte geheime waarde.
Bereik:
- Binnen bereik: uitsluitend door de gebruiker aangeleverde inloggegevens die OpenClaw niet aanmaakt of roteert.
- Buiten bereik: tijdens runtime aangemaakte of roterende inloggegevens, OAuth-vernieuwingsmateriaal en sessieachtige artefacten.
De onderstaande lijsten worden gegenereerd vanuit het bronregister met doelen en in CI gecontroleerd aan de hand van docs/reference/secretref-user-supplied-credentials-matrix.json; bewerk de vermeldingen niet handmatig.
Ondersteunde inloggegevens
openclaw.json-doelen (secrets configure + secrets apply + secrets audit)
models.providers.*.apiKeymodels.providers.*.headers.*models.providers.*.request.auth.tokenmodels.providers.*.request.auth.valuemodels.providers.*.request.headers.*models.providers.*.request.proxy.tls.camodels.providers.*.request.proxy.tls.certmodels.providers.*.request.proxy.tls.keymodels.providers.*.request.proxy.tls.passphrasemodels.providers.*.request.tls.camodels.providers.*.request.tls.certmodels.providers.*.request.tls.keymodels.providers.*.request.tls.passphraseskills.entries.*.apiKeyagents.defaults.memorySearch.remote.apiKeyagents.list[].tts.providers.*.apiKeyagents.list[].memorySearch.remote.apiKeytalk.providers.*.apiKeytalk.realtime.providers.*.apiKeymessages.tts.providers.*.apiKeytools.web.fetch.firecrawl.apiKeyplugins.entries.acpx.config.mcpServers.*.env.*plugins.entries.brave.config.webSearch.apiKeyplugins.entries.codex.config.appServer.authTokenplugins.entries.codex.config.appServer.headers.*plugins.entries.exa.config.webSearch.apiKeyplugins.entries.google-meet.config.realtime.providers.*.apiKeyplugins.entries.google.config.webSearch.apiKeyplugins.entries.xai.config.webSearch.apiKeyplugins.entries.moonshot.config.webSearch.apiKeyplugins.entries.perplexity.config.webSearch.apiKeyplugins.entries.firecrawl.config.webSearch.apiKeyplugins.entries.minimax.config.webSearch.apiKeyplugins.entries.tavily.config.webSearch.apiKeyplugins.entries.parallel.config.webSearch.apiKeyplugins.entries.voice-call.config.realtime.providers.*.apiKeyplugins.entries.voice-call.config.streaming.providers.*.apiKeyplugins.entries.voice-call.config.tts.providers.*.apiKeyplugins.entries.voice-call.config.twilio.authTokentools.web.search.*.apiKeytools.web.search.apiKeygateway.auth.passwordgateway.auth.tokengateway.remote.tokengateway.remote.passwordcron.webhookTokenchannels.telegram.botTokenchannels.telegram.webhookSecretchannels.telegram.accounts.*.botTokenchannels.telegram.accounts.*.webhookSecretchannels.slack.botTokenchannels.slack.appTokenchannels.slack.relay.authTokenchannels.slack.userTokenchannels.slack.signingSecretchannels.slack.accounts.*.botTokenchannels.slack.accounts.*.appTokenchannels.slack.accounts.*.relay.authTokenchannels.slack.accounts.*.userTokenchannels.slack.accounts.*.signingSecretchannels.sms.authTokenchannels.sms.accounts.*.authTokenchannels.discord.tokenchannels.discord.pluralkit.tokenchannels.discord.voice.tts.providers.*.apiKeychannels.discord.accounts.*.tokenchannels.discord.accounts.*.pluralkit.tokenchannels.discord.accounts.*.voice.tts.providers.*.apiKeychannels.irc.passwordchannels.irc.nickserv.passwordchannels.irc.accounts.*.passwordchannels.irc.accounts.*.nickserv.passwordchannels.feishu.appSecretchannels.feishu.encryptKeychannels.feishu.verificationTokenchannels.feishu.accounts.*.appSecretchannels.feishu.accounts.*.encryptKeychannels.feishu.accounts.*.verificationTokenchannels.qqbot.clientSecretchannels.qqbot.accounts.*.clientSecretchannels.msteams.appPasswordchannels.mattermost.botTokenchannels.mattermost.accounts.*.botTokenchannels.matrix.accessTokenchannels.matrix.passwordchannels.matrix.accounts.*.accessTokenchannels.matrix.accounts.*.passwordchannels.nextcloud-talk.botSecretchannels.nextcloud-talk.apiPasswordchannels.nextcloud-talk.accounts.*.botSecretchannels.nextcloud-talk.accounts.*.apiPasswordchannels.zalo.botTokenchannels.zalo.webhookSecretchannels.zalo.accounts.*.botTokenchannels.zalo.accounts.*.webhookSecretchannels.googlechat.serviceAccountvia naastgelegenserviceAccountRef(compatibiliteitsuitzondering)channels.googlechat.accounts.*.serviceAccountvia naastgelegenserviceAccountRef(compatibiliteitsuitzondering)
auth-profiles.json-doelen (secrets configure + secrets apply + secrets audit)
profiles.*.keyRef(type: "api_key"; niet ondersteund wanneerauth.profiles.<id>.mode = "oauth")profiles.*.tokenRef(type: "token"; niet ondersteund wanneerauth.profiles.<id>.mode = "oauth")
Opmerkingen:
- Plandoelen voor authenticatieprofielen vereisen
agentId; planvermeldingen zijn gericht opprofiles.*.key/profiles.*.tokenen schrijven naastgelegen verwijzingen (keyRef/tokenRef). Verwijzingen van authenticatieprofielen worden meegenomen in runtime-resolutie en auditdekking. - In
openclaw.jsonmoeten SecretRefs gestructureerde objecten gebruiken, zoals{"source":"env","provider":"default","id":"DISCORD_BOT_TOKEN"}. Verouderde markeringstekenreeksen van de vormsecretref-env:<ENV_VAR>worden geweigerd op paden voor SecretRef-inloggegevens; voeropenclaw doctor --fixuit om geldige markeringen te migreren. - OAuth-beleidscontrole:
auth.profiles.<id>.mode = "oauth"kan niet worden gecombineerd met SecretRef-invoer voor dat profiel. Opstarten/herladen en de resolutie van authenticatieprofielen mislukken onmiddellijk wanneer dit beleid wordt geschonden. - Voor door SecretRef beheerde modelproviders bewaren gegenereerde vermeldingen in
agents/*/agent/models.jsonniet-geheime markeringen (geen opgeloste geheime waarden) voorapiKey-/header-oppervlakken. Het bewaren van markeringen is brongezaghebbend: OpenClaw schrijft markeringen vanuit de momentopname van de actieve bronconfiguratie (vóór resolutie), niet vanuit opgeloste geheime runtimewaarden. - Voor zoeken op het web: in de expliciete providermodus (
tools.web.search.provideringesteld) is alleen de sleutel van de geselecteerde provider actief. In de automatische modus (tools.web.search.providerniet ingesteld) is alleen de eerste providersleutel actief die volgens de voorrangsvolgorde kan worden opgelost, en verwijzingen van niet-geselecteerde providers worden als inactief beschouwd totdat ze worden geselecteerd. Verouderde providerpaden ondertools.web.search.*worden tijdens het compatibiliteitsvenster nog steeds opgelost, maar het canonieke SecretRef-oppervlak isplugins.entries.<plugin>.config.webSearch.*.
Niet-ondersteunde inloggegevens
Deze inloggegevens behoren tot klassen die worden aangemaakt, geroteerd, sessies bevatten of duurzaam voor OAuth zijn en daarom niet passen bij alleen-lezen externe SecretRef-resolutie:
commands.ownerDisplaySecrethooks.tokenhooks.gmail.pushTokenhooks.mappings[].sessionKeyauth-profiles.oauth.*channels.discord.threadBindings.webhookTokenchannels.discord.accounts.*.threadBindings.webhookTokenchannels.whatsapp.creds.jsonchannels.whatsapp.accounts.*.creds.json
Gerelateerd
Was this useful?