OAuth

OpenClaw 支持通过 OAuth 进行"订阅认证（subscription auth）"，适用于提供此功能的提供商（特别是 OpenAI Codex (ChatGPT OAuth)）。对于 Anthropic 订阅，使用 setup-token 流程。本页解释：

• OAuth **令牌交换（token exchange）**的工作原理（PKCE）
• 令牌的存储位置（以及原因）
• 如何处理多个账户（配置文件 + 每个会话的覆盖）

OpenClaw 还支持提供商插件（provider plugins），它们提供自己的 OAuth 或 API 密钥流程。通过以下方式运行：

openclaw models auth login --provider <id>

令牌接收器（为什么它存在）

OAuth 提供商通常在登录/刷新流程期间会生成一个新的刷新令牌（refresh token）。某些提供商（或 OAuth 客户端）可能会在为同一用户/应用程序发出新令牌时使旧的刷新令牌失效。

实际症状：

• 您通过 OpenClaw 和 Claude Code / Codex CLI 登录 → 其中一个稍后随机"登出"

为了减少这种情况，OpenClaw 将 auth-profiles.json 视为令牌接收器（token sink）：

• 运行时从一个地方读取凭证
• 我们可以保留多个配置文件并确定性地路由它们

存储（令牌存放位置）

秘密是每个智能体存储的：

• 认证配置文件（OAuth + API 密钥）：~/.openclaw/agents/<agentId>/agent/auth-profiles.json
• 运行时缓存（自动管理；不要编辑）：~/.openclaw/agents/<agentId>/agent/auth.json

旧版仅导入文件（仍受支持，但不是主存储）：

• ~/.openclaw/credentials/oauth.json（首次使用时导入到 auth-profiles.json）

以上所有内容也遵守 $OPENCLAW_STATE_DIR（状态目录覆盖）。完整参考：/gateway/configuration

Anthropic setup-token（订阅认证）

在任何机器上运行 claude setup-token，然后粘贴到 OpenClaw：

openclaw models auth setup-token --provider anthropic

如果您在其他地方生成了令牌，请手动粘贴：

openclaw models auth paste-token --provider anthropic

验证：

openclaw models status

OAuth 交换（登录的工作原理）

OpenClaw 的交互式登录流程在 @mariozechner/pi-ai 中实现，并连接到向导/命令中。

Anthropic（Claude Pro/Max）setup-token

流程形式：

1. 运行 claude setup-token
2. 将令牌粘贴到 OpenClaw
3. 存储为令牌认证配置文件（无刷新）

向导路径是 openclaw onboard → 认证选择 setup-token（Anthropic）。

OpenAI Codex（ChatGPT OAuth）

流程形式（PKCE）：

1. 生成 PKCE 验证器/挑战 + 随机 state
2. 打开 https://auth.openai.com/oauth/authorize?...
3. 尝试在 http://127.0.0.1:1455/auth/callback 上捕获回调
4. 如果回调无法绑定（或您是远程/无头），粘贴重定向 URL/代码
5. 在 https://auth.openai.com/oauth/token 进行交换
6. 从访问令牌中提取 accountId 并存储 { access, refresh, expires, accountId }

向导路径是 openclaw onboard → 认证选择 openai-codex。

刷新 + 过期

配置文件存储 expires 时间戳。

在运行时：

• 如果 expires 在未来 → 使用存储的访问令牌
• 如果过期 → 刷新（在文件锁下）并覆盖存储的凭证

刷新流程是自动的；您通常不需要手动管理令牌。

多个账户（配置文件）+ 路由

两种模式：

1）首选：独立的智能体

如果您希望"个人"和"工作"永远不互相干扰，请使用隔离的智能体（独立的会话 + 凭证 + 工作区）：

openclaw agents add work
openclaw agents add personal

然后为每个智能体配置认证（向导）并将聊天路由到正确的智能体。

2）高级：一个智能体中的多个配置文件

auth-profiles.json 支持同一提供商的多个配置文件 ID。

选择使用哪个配置文件：

• 通过配置排序全局配置（auth.order）
• 通过 /model ...@<profileId> 每个会话配置

示例（会话覆盖）：

• /model Opus@anthropic:work

如何查看存在哪些配置文件 ID：

• openclaw channels list --json（显示 auth[]）

相关文档：

• /concepts/model-failover（轮换 + 冷却规则）
• /tools/slash-commands（命令界面）