最近部署了OpenClaw,但在日常使用中,遇到以下困扰:
- 1.每次访问都需要复制粘贴冗长的 token,非常不便?
- 2.同事借用电脑后,浏览器记录中的 token 可能被泄露?
针对这些痛点,Next Terminal(NT)审计系统可以完美解决——即使 token 不慎泄露,攻击者也无法通过 NT 代理层直接访问 OpenClaw。OpenClaw + NT 的组合,既能实现免密访问,又能大幅提升安全性,堪称绝配。
以下是具体配置步骤:
步骤一:在 NT 后台添加资产
登录 NT 管理后台,添加 Web 类型资产(本文示例中 OpenClaw 部署在其他服务器上):
⚠️ 重要:入口路径需配置为
/?token=xxx格式,这样 NT 即可直接代为完成认证,无需手动输入 token。
步骤二:配置 Nginx 反向代理
在同一台NT服务器上配置Nginx反向代理,将域名ai.example.com指向NT服务:
- 反代目标地址:
http://127.0.0.1:8580(端口号取决于 NT 部署时的配置) - 域名
ai.example.com需解析至 NT 服务器 IP
本文示例使用 1Panel 面板进行配置。
步骤三:修改 OpenClaw 配置文件
编辑 openclaw.json 文件,添加以下配置项:
"gateway": {
"auth": {
"mode": "token",
"token": "zhelishinidetokenfangwenmiyao123456789"
},
"bind": "lan",
"trustedProxies": [
"172.18.0.1", // 根据实际 Docker 网段调整
"127.0.0.1",
"::1"
],
"controlUi": {
"allowedOrigins": [
"https://ai.example.com"
],
"allowInsecureAuth": true,
"dangerouslyAllowHostHeaderOriginFallback": true,
"dangerouslyDisableDeviceAuth": true
}
}
配置说明:
trustedProxies:指定可信代理 IP,解决NT接管反代后的IP信任问题allowedOrigins:限制允许访问的域名来源,增强安全性
完成以上三个步骤后,你将获得:
- ✅ 免密访问:通过 NT 直接进入 OpenClaw,无需手动输入 token
- ✅ 安全审计:所有访问记录留存于 NT 平台,支持事后审计与权限管理
- ✅ 多用户隔离:可分配独立账户给团队成员,实现分权管理
这样一来,即使 OpenClaw token 不慎外泄,攻击者也无法绕过NT审计层直接访问核心服务,增加方便的同时安全性大幅提升。
评论区