一文教你如何安全访问OpenClaw WebUI：完整教程步骤详解新手必看注意事项

先强调一个关键安全要点：直接用公网IP访问OpenClaw的WebUI（即Dashboard），相当于把服务器暴露在各类网络攻击之下。因此，Lighthouse服务器默认提供的一键部署OpenClaw应用模板，并未配置通过公网IP直接访问WebUI的路径。

如果确实需要通过WebUI进行操作，推荐以下两种相对安全的访问方式，可根据实际需求选择配置。

• 方式1（推荐）：通过本地终端SSH隧道访问
• 方式2：通过OrcaTerm端口转发访问

方式1（推荐）：通过本地终端SSH隧道访问OpenClaw WebUI

此方式适合熟悉SSH终端工具的用户。核心思路是利用本地终端建立一条SSH隧道，将远程服务“映射”到本机进行访问。

第一步，登录腾讯云控制台，找到已部署OpenClaw的轻量应用服务器，记录其公网IP地址。

接着在控制台中重置密码，务必设置一个高强度密码——至少12位，大小写字母、数字和特殊字符缺一不可，确保安全。

然后打开本地的终端工具（如OrcaTerm客户端版、Xterminal、Termius等），输入以下命令：

ssh -N -L 18789:127.0.0.1:18789 root@服务器公网IP地址

请将“root@”后面的内容替换为刚才记录的服务器公网IP。输入密码并回车，终端会保持静默状态——此时切勿关闭该终端窗口。

接下来，在本地电脑的浏览器中访问以下地址：

http://localhost:18789/

如果页面正常加载，说明WebUI已成功映射到本地。使用期间保持终端窗口打开，用完再关闭即可。

进入WebUI后，在左侧导航栏找到“Overview”，在Overview页面中输入OpenClaw的Gateway Token即可开始使用。获取Token的方法：通过OrcaTerm登录服务器，在终端中运行以下命令：

cat /root/.openclaw/openclaw.json | grep -A2 token

警告：Gateway Token是访问凭证，必须严格保管；一旦泄露，可能导致严重安全风险。

方式2：通过OrcaTerm端口转发访问OpenClaw WebUI

第二种方案利用腾讯云OrcaTerm终端的端口转发功能。OrcaTerm是腾讯云自研的智能远程终端工具，可便捷登录服务器，并内置AI辅助功能。

配置流程大致如下：

• 在OrcaTerm中为OpenClaw实例添加连接配置
• 设置该实例的端口转发——这是访问WebUI的关键步骤
• 最后配置访问权限，由你控制谁能访问

配置指南

添加连接配置

打开OrcaTerm首页，使用腾讯云账号登录。

在左侧菜单栏找到并点击连接管理器。

点击新建按钮，在弹出的窗口中按以下内容填写：

• 选择“轻量应用服务器”，然后选中已部署OpenClaw的实例
• 连接协议推荐选择“免密连接”
• 用户名保持默认

设置完成后，点击连接并保存按钮。

完成实例内配置

将以下命令复制到OrcaTerm中执行：

openclaw config set "gateway.controlUi" '{'''allowInsecureAuth''' : true}'
loginctl enable-linger $(whoami) && export XDG_RUNTIME_DIR=/run/user/$(id -u)
openclaw gateway restart
grep -A10 '''"gateway"''' /root/.openclaw/openclaw.json | grep '^s*"token"' | grep -v '''"mode"''' | sed -E 's/^[[:space:]]*"token":[[:space:]]*"([^"]*)".*/1/'

执行后效果如下方截图所示。

提示：请将输出的Token妥善保存。

警告：Gateway Token务必严格保管，泄露后果非常严重。

再复制以下命令到OrcaTerm中执行：

jq '.gateway.controlUi.dangerouslyDisableDeviceAuth = true' /root/.openclaw/openclaw.json > /tmp/oc.json && mv /tmp/oc.json /root/.openclaw/openclaw.json

完成此步后，即使有人试图通过公网IP访问你的WebUI，最多也只能看到以下页面：

接下来配置端口转发，真正实现OpenClaw WebUI的访问。

设置并开启端口转发

端口转发在此充当“中介”角色——它帮助从互联网访问原本被隔离在Lighthouse内部的WebUI，同时能精确控制访问权限，保障安全性。

在左侧菜单找到并点击端口转发，然后在端口转发页面点击新建按钮。

在弹出的新建端口转发窗口中，参考以下内容填写：

• 连接配置：选择上一步添加的连接
• 目标地址：填写127.0.0.1
• 目标端口：填写18789（WebUI默认端口）
• 转发链接有效期：按需设置，过期后链接自动失效，需重新配置
• 访问控制（可选）：如果仅你一人访问，留空即可。如需授权他人，在下文填写对方的腾讯云账号ID

设置完成后点击保存。

保存后，在端口转发列表的操作列中，点击开始转发按钮。

接着点击转发地址列的点击跳转按钮，即可访问OpenClaw WebUI。此时只有你能够访问，其他人没有权限。

一切正常的话，你将看到如下页面：

将之前在OrcaTerm中获取的Token输入到WebUI（Dashboard）的“概览 > 网关令牌”中，然后点击连接。此时大概率会遇到以下报错：

origin not allowed (open the Control UI from the gateway host or allow it in gateway.controlUi.allowedOrigins)

不必担心，这是新版OpenClaw增强了WebUI的访问控制。按以下步骤解决。

先回到OrcaTerm，复制端口转发地址：

将复制的地址粘贴到双引号中，然后复制并执行以下命令：

openclaw config set gateway.controlUi.allowedOrigins '["你的端口转发地址"]'

说明：端口转发地址通常格式如下：
https://forward-xxxxxx-100012345678.orcaterm.cloud.tencent.com
实际运行的命令应类似：
openclaw config set gateway.controlUi.allowedOrigins '["https://forward-xxxxxx-100012345678.orcaterm.cloud.tencent.com"]'

此时先别急着继续。需要重启网关——可以在应用管理页重启：

或直接运行以下命令：

openclaw gateway restart

重启后，访问或刷新端口转发地址页面，可能再次出现新报错：

invalid connect params: at /device/nonce: must NOT ha ve fewer than 1 characters

或提示 pairing required：

没关系，还需要执行两个命令：

openclaw devices list

将红框内显示的Request复制下来，替换到下面命令中“Request”的位置：

openclaw devices approve Request

说明：例如我的Request是 2d5eae7d-564d-484c-8003-7dc33c40f5e7，实际运行的命令为：
openclaw devices approve 2d5eae7d-564d-484c-8003-7dc33c40f5e7

现在回到WebUI，刷新页面——即可正常访问。

说明：上述解决origin not allowed报错的方法，特别感谢社区开发者“无可奉告丶”的贡献。

提示：如果刷新后仍然报错（例如点击Connect后依然显示Disconnected），可在浏览器中再刷新一次页面，重新输入Token并再次尝试Connect。

关闭端口转发

在端口转发列表的操作列中，点击停止转发按钮即可。如需再次开启，点击开始转发按钮，或直接新建一个端口转发。

允许他人访问WebUI（可选）

提示：强烈建议采用基于账号的访问控制方式。

在OrcaTerm左侧菜单找到并点击端口转发，在列表中找到想要共享的端口转发。

先在操作列点击停止转发，再点击编辑按钮，将对方的腾讯云账号填入账号输入框。

保存后，重新点击开始转发按钮即可。

来源：互联网