Fundamentals
OAuth
OpenClaw, OAuth sunan sağlayıcılar için OAuth'u ("abonelik kimlik doğrulaması"), özellikle OpenAI Codex (ChatGPT OAuth) ve Anthropic Claude CLI yeniden kullanımını destekler. Anthropic için pratik ayrım şöyledir:
- Anthropic API anahtarı: normal Anthropic API faturalandırması.
- OpenClaw içinde Anthropic Claude CLI / abonelik kimlik doğrulaması: Anthropic
çalışanları bu kullanıma yeniden izin verildiğini bize bildirdiğinden, Anthropic
yeni bir politika yayımlamadığı sürece OpenClaw bu entegrasyon için Claude CLI
yeniden kullanımını ve
claude -pkullanımını onaylanmış olarak kabul eder. Üretimde Anthropic için API anahtarıyla kimlik doğrulama hâlâ önerilen daha güvenli yoldur.
OpenClaw, hem OpenAI API anahtarıyla kimlik doğrulamayı hem de ChatGPT/Codex OAuth'u
standart sağlayıcı kimliği openai altında saklar. Eski openai-codex:* profil
kimlikleri ve auth.order.openai-codex girdileri, openclaw doctor --fix tarafından
düzeltilen eski durum verileridir; yeni yapılandırmalarda openai:* profil kimliklerini
ve auth.order.openai kullanın.
Bu sayfada şunlar ele alınır:
- OAuth belirteç değişiminin nasıl çalıştığı (PKCE)
- belirteçlerin nerede saklandığı (ve nedeni)
- birden çok hesabın nasıl yönetileceği (profiller + oturum başına geçersiz kılmalar)
Kendi OAuth veya API anahtarı akışını sağlayan sağlayıcı Plugin'leri aynı giriş noktası üzerinden çalışır:
openclaw models auth login --provider <id>Belirteç havuzu (neden var)
OAuth sağlayıcıları genellikle her oturum açma/yenileme işleminde yeni bir yenileme belirteci oluşturur. Bazı sağlayıcılar, aynı kullanıcı/uygulama için yeni bir yenileme belirteci verildiğinde önceki yenileme belirtecini geçersiz kılar. Pratik belirti: OpenClaw ve Claude Code / Codex CLI üzerinden oturum açarsınız ve daha sonra bunlardan birinin oturumu rastgele kapatılır.
Bunu azaltmak için OpenClaw, kimlik doğrulama profili deposunu bir belirteç havuzu olarak ele alır:
- çalışma zamanı, her agent için kimlik bilgilerini tek bir yerden okur
- birden çok profil birlikte bulunabilir ve yönlendirme belirli bir şekilde yapılır
- harici CLI yeniden kullanımı sağlayıcıya özeldir: OpenClaw bir sağlayıcı için yerel
bir OAuth profilinin sahibi olduktan sonra yerel yenileme belirteci standart kabul
edilir. Bu yerel yenileme belirteci reddedilirse OpenClaw, harici CLI belirteç
malzemesine geri dönmek yerine profilin yeniden kimlik doğrulaması gerektirdiğini
bildirir. Codex CLI başlangıç hazırlığı daha da sınırlıdır: yalnızca OpenClaw söz
konusu sağlayıcının OAuth'unun sahibi olmadan önce boş bir
openai:defaulttarzı profili başlangıç verileriyle doldurabilir; bundan sonra OpenClaw'un yönettiği yenilemeler standart olarak kalır - durum/başlatma yolları, harici CLI keşfini önceden yapılandırılmış sağlayıcı kümesiyle sınırlar; böylece tek sağlayıcılı bir kurulum için ilgisiz bir CLI oturum açma deposu sorgulanmaz
Depolama (belirteçlerin bulunduğu yer)
Gizli bilgiler, auth-profiles.json mantıksal adıyla anahtarlanarak agent başına
saklanır (temel depo agent'ın SQLite veritabanıdır; JSON adı uyumluluk ve araçlarda
görüntüleme amacıyla korunur):
- Kimlik doğrulama profilleri (OAuth + API anahtarları + isteğe bağlı değer düzeyinde
başvurular):
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - Eski uyumluluk dosyası:
~/.openclaw/agents/<agentId>/agent/auth.json(statikapi_keygirdileri keşfedildiğinde temizlenir)
Yalnızca eski verileri içe aktarmaya yönelik dosya (hâlâ desteklenir, ancak ana depo değildir):
~/.openclaw/credentials/oauth.json(ilk kullanımda kimlik doğrulama profili deposuna içe aktarılır)
Yukarıdakilerin tümü $OPENCLAW_STATE_DIR değerini de dikkate alır (durum dizini geçersiz kılması). Tam başvuru: /gateway/configuration-reference#auth-storage
Statik gizli bilgi başvuruları ve çalışma zamanı anlık görüntüsü etkinleştirme davranışı için Gizli Bilgi Yönetimi bölümüne bakın.
İkincil bir agent'ın yerel kimlik doğrulama profili yoksa OpenClaw, varsayılan/ana agent deposundan okuma sırasında devralmayı kullanır; okuma sırasında ana agent'ın deposunu kopyalamaz. OAuth yenileme belirteçleri özellikle hassastır: bazı sağlayıcılar yenileme belirteçlerini kullanımdan sonra döndürdüğü veya geçersiz kıldığı için normal kopyalama akışları varsayılan olarak bunları atlar. Bağımsız bir hesaba ihtiyaç duyan agent için ayrı bir OAuth oturumu açın.
Anthropic Claude CLI yeniden kullanımı
OpenClaw, Anthropic Claude CLI yeniden kullanımını ve claude -p kullanımını
onaylanmış bir kimlik doğrulama yolu olarak destekler. Ana makinede zaten yerel bir
Claude oturumunuz varsa başlangıç/yapılandırma işlemi bunu doğrudan yeniden
kullanabilir. Anthropic kurulum belirteci, desteklenen bir belirteç tabanlı kimlik
doğrulama yolu olarak kullanılmaya devam eder; ancak OpenClaw, kullanılabildiğinde
Claude CLI yeniden kullanımını tercih eder.
OAuth değişimi (oturum açma nasıl çalışır)
OpenClaw'un etkileşimli oturum açma akışları openclaw/plugin-sdk/llm.ts içinde
uygulanır ve sihirbazlara/komutlara bağlanır.
Anthropic kurulum belirteci
Akışın yapısı:
- OpenClaw'dan Anthropic kurulum belirteci veya belirteç yapıştırma işlemini başlatın
- OpenClaw, elde edilen Anthropic kimlik bilgisini bir kimlik doğrulama profilinde saklar
- model seçimi
anthropic/...üzerinde kalır - mevcut Anthropic kimlik doğrulama profilleri geri alma/sıralama denetimi için kullanılabilir kalır
OpenAI Codex (ChatGPT OAuth)
OpenAI Codex OAuth, OpenClaw iş akışları dâhil olmak üzere Codex CLI dışında kullanım için açıkça desteklenir.
Oturum açma komutu standart OpenAI sağlayıcı kimliğini kullanır:
openclaw models auth login --provider openaiTek bir agent içinde birden çok ChatGPT/Codex OAuth hesabı için
--profile-id openai:<name> kullanın. Yeni profiller için openai-codex:<name>
kullanmayın. Doctor, bu eski öneki çakışmasız bir openai:* profil kimliğine taşır;
profil kimliklerini auth.order veya /model ...@<profileId> içine kopyalamadan önce
onarım sonrasında openclaw models auth list --provider openai komutunu çalıştırın.
Akışın yapısı (PKCE):
- bir PKCE doğrulayıcı/sınama değeri ve rastgele bir
stateoluşturun https://auth.openai.com/oauth/authorize?...adresini açın (kapsam:openid profile email offline_access)- geri çağırmayı
http://localhost:1455/auth/callbackadresinde yakalamayı deneyin (geri çağırma ana makinesi varsayılan olaraklocalhostdeğerini kullanır ve yalnızca local loopback ana makinelerini kabul eder;OPENCLAW_OAUTH_CALLBACK_HOSTile geçersiz kılın) - geri çağırma ulaşmadan önce bir kod yapıştırabiliyorsanız (veya uzak/başsız ortamdaysanız ve geri çağırma bağlanamıyorsa) bunun yerine yönlendirme URL'sini/kodu yapıştırın; elle yapıştırma, tarayıcı geri çağırmasıyla yarışır ve önce tamamlanan kazanır
- kodu
https://auth.openai.com/oauth/tokenadresinde değiştirin - erişim belirtecinden
accountIddeğerini çıkarın ve{ access, refresh, expires, accountId }değerini saklayın
Sihirbaz yolu openclaw onboard → kimlik doğrulama seçimi openai şeklindedir.
Yenileme + süre sonu
Profiller bir expires zaman damgası saklar. Çalışma zamanında:
expiresgelecekteyse saklanan erişim belirtecini kullanın- süresi dolmuşsa yenileyin (dosya kilidi altında) ve saklanan kimlik bilgilerinin üzerine yazın
- ikincil bir agent, ana agent'tan devralınmış bir OAuth profilini okursa yenileme belirtecini ikincil agent deposuna kopyalamak yerine yenileme işlemi ana agent deposuna geri yazılır
- harici olarak yönetilen CLI kimlik bilgileri (Claude CLI, sınırlı Codex CLI başlangıç hazırlığı; bkz. Belirteç havuzu), kopyalanmış bir yenileme belirtecini harcamak yerine yeniden okunur. Yönetilen bir yenileme başarısız olursa OpenClaw, harici CLI belirteç malzemesini döndürmek yerine etkilenen profilin yeniden kimlik doğrulaması gerektirdiğini bildirir.
Yenileme akışı otomatiktir; genellikle belirteçleri elle yönetmeniz gerekmez.
Birden çok hesap (profiller) + yönlendirme
İki yöntem vardır:
1) Tercih edilen: ayrı agent'lar
"Kişisel" ve "iş" hesaplarının hiçbir zaman etkileşim kurmamasını istiyorsanız yalıtılmış agent'lar kullanın (ayrı oturumlar + kimlik bilgileri + çalışma alanı):
openclaw agents add workopenclaw agents add personalArdından kimlik doğrulamayı agent başına yapılandırın (sihirbaz) ve sohbetleri doğru agent'a yönlendirin.
2) Gelişmiş: tek bir agent içinde birden çok profil
Kimlik doğrulama profili deposu, aynı sağlayıcı için birden çok profil kimliğini destekler. Hangisinin kullanılacağını seçin:
- yapılandırma sıralaması (
auth.order) aracılığıyla genel olarak /model ...@<profileId>aracılığıyla oturum başına
Örnek (oturum geçersiz kılması):
/model Opus@anthropic:work
Mevcut profil kimliklerini şu komutla listeleyin:
openclaw models auth list --provider <id>İlgili belgeler:
- Model yük devri (döndürme + bekleme süresi kuralları)
- Eğik çizgi komutları (komut yüzeyi)
İlgili
- Kimlik doğrulama - model sağlayıcısı kimlik doğrulamasına genel bakış
- Gizli bilgiler - kimlik bilgisi depolama ve SecretRef
- Yapılandırma Başvurusu - kimlik doğrulama yapılandırma anahtarları