OpenClaw Gateway 设备令牌不匹配问题排查全指南

问题现象

用户在使用 OpenClaw 2026.2.15 版本时，突然遇到以下错误：

�� OpenClaw 2026.2.15 (3fe22ea)
 Hot reload for config, cold sweat for deploys.

gateway connect failed: Error: unauthorized: device token mismatch (rotate/reissue device token)

RPC probe: failed
 gateway closed (1008): unauthorized: device token mismatch (rotate/reissue device token)

关键信息：

• Gateway 服务正在运行（pid 76036）
• 端口 18789 正常监听
• 但 CLI 无法连接，报错 "device token mismatch"

问题本质

OpenClaw 的认证架构

OpenClaw Gateway 采用 Token-based 认证机制：

┌─────────────┐      Token A      ┌─────────────────┐
│   CLI 工具   │ ◄────────────────► │  Gateway 服务   │
│  (~/.openclaw)          │                   │  (18789 端口)              │
└─────────────┘                   └─────────────────┘
        │                                  │
        │         设备令牌 (Device Token)   │
        └──────────────────────────────────┘

设备令牌（Device Token）用于验证 CLI 客户端与 Gateway 之间的身份。当两者持有的令牌不一致时，就会出现 "mismatch" 错误。

令牌不一致的常见原因

解决方案

方案一：重启 Gateway（推荐）

最直接的解决方式是重新生成并同步令牌：

# 1. 停止现有 Gateway
openclaw gateway stop

# 2. 确认进程已终止
ps aux | grep openclaw-gateway

# 3. 清理可能的残留
rm -f ~/.openclaw/.gateway-token

# 4. 重新启动
openclaw gateway start

# 5. 验证状态
openclaw gateway status

方案二：手动重新签发令牌

如果不想重启服务，可以手动触发令牌轮换：

# 查看当前令牌状态
openclaw gateway token status

# 强制重新签发
curl -X POST http://127.0.0.1:18789/api/v1/token/rotate \
  -H "Authorization: Bearer $(cat ~/.openclaw/.gateway-token)"

# 或者使用 CLI
openclaw gateway token rotate --reissue

方案三：排查配置冲突

检查是否存在多个配置文件：

# 查找所有可能的配置文件位置
find ~ -name "openclaw.json" 2>/dev/null

# 常见位置：
# ~/.openclaw/openclaw.json          (用户配置)
# ~/.config/openclaw/openclaw.json   (XDG 配置)
# /etc/openclaw/openclaw.json        (系统配置)

# 检查环境变量
env | grep OPENCLAW

方案四：Systemd 服务特殊处理

如果使用 systemd 管理 Gateway，需要注意：

# 检查服务配置
cat ~/.config/systemd/user/openclaw-gateway.service

# 确认环境变量
systemctl --user show openclaw-gateway --property=Environment

# 重启服务
systemctl --user restart openclaw-gateway

# 查看详细日志
journalctl --user -u openclaw-gateway -f

深入理解：Token 机制

Token 存储位置

# 默认位置
~/.openclaw/.gateway-token

# 内容示例（JWT 格式）
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

Token 验证流程

CLI 发起连接
    │
    ▼
┌──────────────────┐
│ 1. 读取本地 Token │
│  (~/.openclaw/...)│
└────────┬─────────┘
         │
         ▼
┌──────────────────┐
│ 2. WebSocket 握手 │
│  携带 Token      │
└────────┬─────────┘
         │
         ▼
┌──────────────────┐
│ 3. Gateway 验证   │
│  对比内存中的 Token│
└────────┬─────────┘
         │
    ┌────┴────┐
    ▼         ▼
  匹配      不匹配
    │         │
    ▼         ▼
 连接成功   返回 1008
           要求重新签发

为什么会 "突然" 出现？

根据代码分析，以下操作可能触发 Token 变更：

1. **Gateway 异常退出后自动重启** - 生成新 Token
2. **配置文件被外部工具修改** - 触发重新加载
3. **系统时间变更** - JWT 时间验证失败
4. **并发启动多个实例** - 后启动的覆盖先启动的

预防措施

1. 配置 Systemd 自动重启策略

# ~/.config/systemd/user/openclaw-gateway.service
[Service]
Type=simple
ExecStart=/usr/bin/node /home/ubuntu/.npm-global/lib/node_modules/openclaw/dist/index.js gateway --port 18789
Restart=on-failure
RestartSec=5

# 确保只有一个实例
ExecStartPre=/bin/sh -c 'pgrep -f "openclaw-gateway" && exit 1 || exit 0'

2. 使用固定 Token（开发环境）

// ~/.openclaw/openclaw.json
{
  "gateway": {
    "port": 18789,
    "auth": {
      "mode": "static",
      "token": "dev-token-for-local-only"
    }
  }
}

⚠️ 警告：仅用于本地开发，生产环境请使用动态 Token！

3. 监控和告警

# 添加健康检查脚本
#!/bin/bash
# ~/bin/openclaw-health-check.sh

if ! openclaw gateway status | grep -q "running"; then
  echo "$(date): Gateway 异常，尝试重启..." >> ~/.openclaw/health.log
  openclaw gateway restart
fi

# 添加到 crontab（每5分钟检查）
*/5 * * * * /home/ubuntu/bin/openclaw-health-check.sh

调试技巧

启用详细日志

# 设置日志级别
export OPENCLAW_LOG_LEVEL=debug

# 重新启动并查看日志
openclaw gateway stop
openclaw gateway start 2>&1 | tee /tmp/openclaw-debug.log

手动验证 Token

# 解码 JWT（需要 jq）
cat ~/.openclaw/.gateway-token | cut -d'.' -f2 | base64 -d 2>/dev/null | jq .

# 示例输出：
# {
#   "sub": "openclaw-cli",
#   "iat": 1708195200,
#   "exp": 1708789999,
#   "jti": "unique-device-id"
# }

总结

核心要点：

• Token 是 Gateway 与 CLI 之间的信任凭证
• 重启是最简单有效的解决方案
• 生产环境建议配置监控和自动恢复