凭证管理

XClaw 处理大量的第三方凭证——API Key、OAuth Token、云平台密钥。凭证管理系统的目标是让这些敏感信息既安全又方便。

所有凭证经过加密后存储在本地。加密使用操作系统级别的密钥链服务（macOS Keychain、Windows Credential Store），而不是自制的加密方案。这意味着凭证的安全级别和你的系统密码一致。

OAuth 连接需要 Token 刷新。XClaw 自动处理这个过程——当 Token 快过期时，它会在后台用 Refresh Token 获取新的 Access Token。你不会看到"Token 过期请重新登录"这样的中断。

XClaw 支持的 OAuth 提供商包括：Anthropic（Claude Pro/Max）、Google、ChatGPT Plus、Slack、GitHub、Microsoft。每个连接独立管理，断开一个不影响其他的。

对于 API Key 类的凭证，XClaw 在 UI 中只显示末尾几位，完整值从不出现在屏幕上。凭证也不会出现在日志文件中。

操作指引

凭证管理集中在设置 > AI 模型和设置 > MCP 连接中。添加模型或 MCP 服务器时输入的 API Key 和 Token 会自动被加密存储。

想查看已保存的凭证？在对应的连接配置中可以看到凭证的末尾几位（完整值出于安全考虑不会显示）。需要更新一个过期或泄露的 API Key 时，点击对应连接的"编辑"按钮，粘贴新 Key 保存即可。

OAuth 连接通常不需要手动管理——XClaw 会自动刷新 Token。如果某天你发现 OAuth 连接失效了（比如你在提供商那边撤销了授权），在连接列表中点"重新授权"走一遍 OAuth 流程就行。

想断开某个连接？在列表中找到它，点击"断开"。这只会移除本地凭证，不会影响你在该提供商的账号或其他连接。