一文教你如何安全访问OpenClaw WebUI

先说一个相当重要的提醒：直接让服务器用公网IP来访问OpenClaw的WebUI（也就是Dashboard），基本等于把服务器暴露在网络攻击的枪口下。所以Lighthouse服务器默认提供的一键部署OpenClaw应用模板，压根就没配通过公网IP直接访问WebUI这条路。

如果你确实需要通过WebUI来操作，这边推荐两种相对安全的访问方式，可以根据自己的情况选一个来配置。

• 方式1（推荐）：
  通过本地终端SSH隧道访问

• 方式2：
  通过OrcaTerm端口转发访问

方式1（推荐）：通过本地终端SSH隧道访问OpenClaw WebUI

这种方式适合对SSH终端工具比较熟悉的用户，思路就是基于本地终端建立一条SSH隧道，把远程的服务“映射”到本地来访问。

第一步，进入腾讯云控制台，找到已经部署了OpenClaw的那台轻量应用服务器，记下它的公网IP地址。

接着在控制台里重置一下密码，设好后一定记牢。切记，密码要设得强一点——12位以上，大小写字母、数字和特殊符号都得用上，安全第一。

然后打开本地的终端工具（比如OrcaTerm客户端版、Xterminal、Termius这些），输入下面这条命令：

ssh -N -L 18789:127.0.0.1:18789 root@服务器公网IP地址

注意把“root@”后面的内容换成刚才记下的服务器公网IP。输入密码，回车，终端会停在一个看起来没什么动静的状态——这时候千万不要关掉这个终端窗口。

接下来，在本地电脑的浏览器里输入这个地址：

http://localhost:18789/

只要能正常打开，恭喜你，WebUI已经在本地现身了。用的时候别关那个终端窗口，用完再关就好。

进到WebUI后，左侧导航栏找到“Overview”，在Overview页面里输入OpenClaw的Gateway Token，就能开始用了。Token怎么拿？通过OrcaTerm登录服务器，在终端里运行这个命令就可以：

cat /root/.openclaw/openclaw.json | grep -A2 token

警告：

Gateway Token务必妥善保管，一旦泄露，后果很严重。

方式2：通过OrcaTerm端口转发访问OpenClaw WebUI

第二种方式用的是腾讯云OrcaTerm终端的端口转发功能。OrcaTerm是腾讯云自家推出的一款智能远程终端工具，登录服务器很方便，还自带了AI辅助功能来做各种操作。

• 先在OrcaTerm里给OpenClaw实例加一条连接配置
• 然后给这个实例设置端口转发——这是访问WebUI的关键一步
• 最后再设置访问权限，由你来控制谁能访问

配置指南

添加连接配置

先访问OrcaTerm首页，用腾讯云账号登录。

左侧菜单栏里找到并打开

。

点

按钮，弹窗里按下面这些内容来填：

• 选择“轻量应用服务器”，然后选中部署了OpenClaw的那个实例
• 连接协议推荐选“免密连接”
• 用户名保持默认就行

设置完成后，点

按钮即可。

完成实例内配置

先把下面这条命令复制到OrcaTerm里运行：

openclaw config set "gateway.controlUi" '{'''allowInsecureAuth''' : true}'
loginctl enable-linger $(whoami) && export XDG_RUNTIME_DIR=/run/user/$(id -u)
openclaw gateway restart
grep -A10 '''"gateway"''' /root/.openclaw/openclaw.json | grep '^s*"token"' | grep -v '''"mode"''' | sed -E 's/^[[:space:]]*"token":[[:space:]]*"([^"]*)".*/1/'

运行完之后，效果是这样的：

可以先把这个Token记下来保存好。

警告：

Gateway Token务必妥善保管，泄露后果很严重。

再复制下面这条命令到OrcaTerm里运行：

jq '.gateway.controlUi.dangerouslyDisableDeviceAuth = true' /root/.openclaw/openclaw.json > /tmp/oc.json && mv /tmp/oc.json /root/.openclaw/openclaw.json

这一步做完之后，就算有人想通过公网IP来访问你的WebUI，最多也就能看到下面这个页面：

接下来就可以继续配置，真正实现访问OpenClaw WebUI了。

设置并开启端口转发

端口转发在这里的角色，就像找了一个“中介”——帮你从互联网访问原本被“关”在Lighthouse里面的WebUI，同时还能控制访问权限，确保安全性。

左侧菜单里找到并点击

，然后在端口转发页面点按钮。

在新建端口转发的弹窗里，参考下面这些内容来填：

• 连接配置：选上一步添加的那条
• 目标地址：填127.0.0.1
• 目标端口：填18789（WebUI用的默认端口）
• 转发链接有效期：按需设置，过期后链接就失效了，需要重新设置
• 访问控制（可选）：如果只有你自己访问，留空就行。如果要给其他人开权限，在下方填上TA的腾讯云账号ID

设置完点保存。

保存之后，在端口转发列表的操作列，点

按钮。

然后点转发地址列的

按钮，就能访问OpenClaw WebUI了。这时候只有你自己能访问，其他人没有权限。

如果一切正常，你会看到这样的页面：

把之前在OrcaTerm里拿到的Token输入到WebUI（Dashboard）的“概览 > 网关令牌”里，然后点击连接。这时候大概率会看到一个报错信息：

origin not allowed (open the Control UI from the gateway host or allow it in gateway.controlUi.allowedOrigins)

别慌，这是新版OpenClaw加强了WebUI的访问控制。来，解决一下这个问题。

先回到OrcaTerm，复制端口转发地址：

把复制到的端口转发地址贴进双引号里，然后复制并运行下面这条命令：

openclaw config set gateway.controlUi.allowedOrigins '["你的端口转发地址"]'

端口转发地址的格式一般是这样的：
https://forward-xxxxxx-100012345678.orcaterm.cloud.tencent.com
所以你实际运行的命令应该是类似这样：
openclaw config set gateway.controlUi.allowedOrigins '["https://forward-xxxxxx-100012345678.orcaterm.cloud.tencent.com"]'

到了这一步，先别急着继续。重启一下网关——可以在应用管理页重启：

或者直接运行下面这个命令：

openclaw gateway restart

重启后，访问或刷新端口转发地址的页面，可能又会出现一个新的报错：

invalid connect params: at /device/nonce: must NOT ha ve fewer than 1 characters

或者也可能提示 pairing required：

没关系，还有两个命令要跑：

openclaw devices list

先把红框内显示的Request复制下来，替换到下面命令中“Request”的位置：

openclaw devices approve Request

比如我这里的Request是 2d5eae7d-564d-484c-8003-7dc33c40f5e7，那么实际要运行的命令就是：
openclaw devices approve 2d5eae7d-564d-484c-8003-7dc33c40f5e7

现在回到WebUI，刷新页面——正常访问了。

上面解决origin not allowed报错的方法，要特别感谢社区开发者“无可奉告丶”的贡献。

如果刷新后还是报错（比如点Connect后仍然显示Disconnected），可以在浏览器里再刷新一次页面，重新填上Token再Connect试试。

关闭端口转发

在端口转发列表的操作列，点

按钮就行。想再次开启，点按钮，或者直接新建一个端口转发。

允许他人访问WebUI（可选）

还是建议尽量用按账号来控制访问权限的方式。

在OrcaTerm左侧菜单找到并点击

，在列表里找到想要共享的那个端口转发。

先在操作列点

，再点按钮，把对方的腾讯云账号填进账号输入框里。

保存之后，重新点

按钮就可以了。