1、局域网访问问题

• 设备：树莓派 4B
• 系统：Raspberry Pi OS（64-bit基于 Debian）
• OpenClaw 版本：2026.3.8 (3caab92)

在树莓派本机访问时没有问题，现在局域网另一台PC访问，出现如下界面：

当从局域网其他设备（如手机、笔记本）访问 OpenClaw Web UI 时，出现：

control ui requires device identity (use HTTPS or localhost secure context)

这是因为 OpenClaw 2026+ 版本强制要求 Control UI 必须在“安全上下文”中运行，而 http://192.168.x.x:18789 不属于安全上下文。

---

是 OpenClaw（或类似现代 Web 控制界面）出于安全策略强制要求：

只有在“安全上下文”（Secure Context）下才能访问 Control UI，以保护设备身份和认证凭据。

步骤（在你的电脑上操作）：

1. 打开终端（Windows 用 PowerShell / WSL，Mac/Linux 用 Terminal）
2. 建立 SSH 隧道（假设树莓派用户名是 pi，IP 是 192.168.1.100）：bash编辑

ssh -L 18789:localhost:18789 pi@192.168.1.100

如果你改过用户名（如 raspberrypi），请替换 pi。

1. 保持终端窗口开启（隧道会持续运行）

2. 在本机浏览器打开：文本编辑

http://localhost:18789/?token=你的实际token

此时浏览器认为你访问的是 localhost → 属于安全上下文 → Control UI 正常加载！

---

如何获取 token

在树莓派上运行：

openclaw config get auth.token
# 或
grep -oP '(?<="token": ")[^"]*' ~/.openclaw/openclaw.json

输出类似：

sk-oc-abc123def456ghi789

所以完整 URL 是：（注意一定要使用本机地址127.0.0.1）

http://127.0.0.1:18789/?token=sk-oc-abc123def456ghi789

---

即可安全使用 OpenClaw Web UI！

2、直接通过 IP 访问（如用手机）

那么必须启用 HTTPS。以下是具体步骤：

步骤 1：生成自签名证书（在树莓派上）

mkdir -p ~/.openclaw/ssl
cd ~/.openclaw/ssl

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout key.pem -out cert.pem \
  -subj "/CN=raspberrypi.local"

你可以把 raspberrypi.local 换成你的树莓派 IP 或主机名。

步骤 2：修改 OpenClaw 配置

编辑配置文件：

nano ~/.openclaw/openclaw.json

确保包含以下内容：

{
  "gateway": {
    "port": 18789,
    "bind": "lan",
    "tls": {
      "cert": "/home/pi/.openclaw/ssl/cert.pem",
      "key": "/home/pi/.openclaw/ssl/key.pem"
    },
    "controlUi": {
      "enabled": true,
      "allowedOrigins": ["https://192.168.1.100:18789"]
    }
  },
  "auth": {
    "token": "sk-oc-abc123def456ghi789"
  }
}

注意：

• 路径中的 /home/pi/ 要替换成你的实际用户家目录（如用 ubuntu 用户则是 /home/ubuntu/）
• allowedOrigins 必须是 https://...

步骤 3：重启 OpenClaw

openclaw gateway restart

步骤 4：在手机/电脑浏览器访问

https://192.168.1.100:18789/?token=sk-oc-abc123def456ghi789

首次访问会提示“不安全连接”，点击 高级 → 继续前往 即可。

之后即可正常使用，且满足安全上下文要求。

---

3、不推荐的方式

• 不要设置 allowInsecureContext: true
  OpenClaw 2026.3.8 已移除该选项（出于安全强化），即使手动添加也无效。

• 不要尝试降级版本
  旧版存在未修复漏洞，不建议。

---

总结（树莓派 4B + OpenClaw 2026+）

需求	推荐方案
临时管理（电脑）	SSH 隧道 + localhost（最简单安全）
手机/平板长期使用	启用 HTTPS + 自签名证书
公网访问	禁止！除非配合反向代理 + 有效证书 + 身份认证