文章目录
-
- 前言
- [一、OpenClaw 很强,但企业落地差点意思](#一、OpenClaw 很强,但企业落地差点意思)
- [二、架构设计:Java 中台 + OpenClaw 后端](#二、架构设计:Java 中台 + OpenClaw 后端)
- 三、环境准备:别急着写代码,先把"龙虾"养起来
-
- [3.1 启动 OpenClaw Gateway](#3.1 启动 OpenClaw Gateway)
- [3.2 安装 MCP 适配器(关键步骤)](#3.2 安装 MCP 适配器(关键步骤))
- [四、SpringBoot 侧:手写 MCP 客户端](#四、SpringBoot 侧:手写 MCP 客户端)
-
- [4.1 引入依赖](#4.1 引入依赖)
- [4.2 配置类:连上 OpenClaw](#4.2 配置类:连上 OpenClaw)
- [4.3 核心服务:技能发现与调用](#4.3 核心服务:技能发现与调用)
- 五、企业级增强:权限控制与技能编排
-
- [5.1 RBAC 权限模型](#5.1 RBAC 权限模型)
- [5.2 技能编排:把工作流串起来](#5.2 技能编排:把工作流串起来)
- [六、监控与运维:别让 AI 成了"黑盒"](#六、监控与运维:别让 AI 成了"黑盒")
-
- [6.1 审计日志可视化](#6.1 审计日志可视化)
- [6.2 健康检查](#6.2 健康检查)
- 七、避坑指南:血与泪的教训
- 八、总结
无意间发现了一个CSDN大神的人工智能教程,忍不住分享一下给大家。很通俗易懂,重点是还非常风趣幽默,像看小说一样。床送门放这了👉 http://blog.csdn.net/jiangjunshow
前言
OpenClaw 虽然能直接通过聊天软件指挥 AI 干活,但在企业场景里,我们总不能指望财务大姐在 Telegram 里敲命令来跑报表吧?本文教你用 SpringBoot 搭建一个"企业级技能中台",把 OpenClaw 的 5700+ 技能收编进 Java 体系,实现权限管控、日志审计、技能编排。全程基于 MCP 协议(Model Context Protocol),代码可直接编译,附赠踩坑实录。
一、OpenClaw 很强,但企业落地差点意思
OpenClaw 这玩意儿最近火得一塌糊涂,GitHub 上星星数跟坐了火箭似的。它最牛的地方在于技能(Skills)系统------你别说让它查个天气了,就算让它登录你的 GitHub、拉取代码、分析 Bug、再写个 PR,它都能一气呵成。
但问题是,这货默认是"个人助理"模式:
- 配置靠改 JSON 文件,出错就是满屏红字
- 权限控制基本靠 Trust,谁连上 Gateway 谁就能调技能
- 执行记录散落在本地日志里,出了问题全靠猜
想象一下,你们公司把 OpenClaw 部署在内网,结果实习生手一抖在飞书群里发了句"帮我清空生产数据库",而 OpenClaw 还真有 Shell 权限......这画面太美不敢看。
所以咱得给它套个"缰绳"------用 SpringBoot 封装一层企业级网关,实现:
- 技能白名单:哪些人能调用浏览器自动化,哪些人只能查天气
- 审计日志:谁、在什么时候、让 AI 干了啥,全写进 MySQL
- 编排调度:把"查数据→生成 Excel→发邮件"三个技能串成一个工作流
下面就手把手教你搭这套系统。
二、架构设计:Java 中台 + OpenClaw 后端
先理清思路。OpenClaw 本身是个 Node.js 写的网关服务,暴露两种接入方式:
- HTTP/WebSocket:直接调 Gateway API(但文档里没写太细,容易踩坑)
- MCP 协议:通过 openclaw-mcp-adapter 插件,把技能转成标准 MCP 工具
MCP(Model Context Protocol)是 Anthropic 推的开放标准,说白了就是 AI 界的"USB-C 接口"------不管后端是啥模型,前端按统一格式调用就行。SpringBoot 作为 MCP 客户端去连 OpenClaw,这是目前最稳的方案。
架构图大概是:
[前端业务系统]
↓ HTTP
[SpringBoot 技能中台] ←→ [MySQL/Redis]
↓ MCP Protocol
[OpenClaw Gateway] ←→ [各类 Skills:GitHub/浏览器/文件系统]这么搞的好处是:Java 侧专注做企业逻辑(权限、审计、流程),OpenClaw 专注做 AI 执行,两边解耦。
三、环境准备:别急着写代码,先把"龙虾"养起来
动手之前得先把 OpenClaw 跑起来。这货部署不算复杂,但有几个坑提前告诉你。
3.1 启动 OpenClaw Gateway
官方推荐 Docker 部署,省得装 Node.js 环境:
bash
git clone https://github.com/openclaw/openclaw.git
cd openclaw
docker-compose up -d默认会启动 Gateway 服务,监听端口 3456。这时候你可以通过 Web UI(默认在 3000 端口)测试一下,发个"你好"看能不能通。
3.2 安装 MCP 适配器(关键步骤)
原生 OpenClaw 的技能调用方式比较封闭,咱得装上 mcp-adapter 插件,把它转成标准 MCP 服务:
bash
# 进容器里装插件
docker compose exec openclaw-gateway node dist/index.js plugins install mcp-adapter装完后重启,OpenClaw 就会在本地的 8080 端口(可配置)暴露 MCP 端点。你可以用任意 MCP 客户端(比如 Claude Desktop 或咱的 Java 程序)连上去看看工具列表。
踩坑实录:这个适配器目前对 HTTP 支持比 stdio 稳,建议配置成 SSE(Server-Sent Events)模式,别用默认的 stdio,不然 Java 侧重连会断流。
四、SpringBoot 侧:手写 MCP 客户端
现在轮到 Java 登场。我们要实现一个能跟 OpenClaw "唠嗑"的客户端,核心功能就三个:发现技能、调用技能、处理回调。
4.1 引入依赖
别找什么"官方 SDK"(目前确实没有 Java 版官方包),直接用 WebClient + Jackson 手搓,灵活可控:
xml
org.springframework.boot
spring-boot-starter-webflux
org.springframework.boot
spring-boot-starter-data-jpa
mysql
mysql-connector-java
4.2 配置类:连上 OpenClaw
在 application.yml 里配好 MCP 地址:
yaml
openclaw:
mcp:
base-url: http://localhost:8080 # MCP 适配器地址
timeout: 30000 # AI 执行可能慢,给 30 秒配置类:
java
@Configuration
public class OpenClawConfig {
@Bean
public WebClient openClawWebClient(@Value("${openclaw.mcp.base-url}") String baseUrl) {
return WebClient.builder()
.baseUrl(baseUrl)
.codecs(configurer -> configurer.defaultCodecs().maxInMemorySize(2 * 1024 * 1024)) // 防止 AI 返回超长内容爆内存
.build();
}
}4.3 核心服务:技能发现与调用
MCP 协议的核心就两个方法:tools/list(发现有哪些技能可用)和 tools/call(调用具体技能)。
java
@Service
@Slf4j
public class OpenClawSkillService {
@Autowired
private WebClient webClient;
@Autowired
private SkillAuditRepository auditRepository; // 审计日志_repo
/**
* 拉取 OpenClaw 当前所有可用技能
* 相当于给 AI 做"资产盘点"
*/
public List discoverSkills() {
return webClient.post()
.uri("/mcp/tools/list")
.header("Content-Type", "application/json")
.bodyValue(Map.of("jsonrpc", "2.0", "id", 1, "method", "tools/list"))
.retrieve()
.bodyToMono(JsonNode.class)
.map(response -> {
List skills = new ArrayList<>();
JsonNode tools = response.get("result").get("tools");
tools.forEach(tool -> {
skills.add(new SkillInfo(
tool.get("name").asText(),
tool.get("description").asText()
));
});
return skills;
})
.block(); // 启动时同步加载,后面可以改成缓存
}
/**
* 调用具体技能,带审计日志
* @param skillName 技能名,比如 "github-pr-create"
* @param parameters 参数,比如 {"repo": "myproject", "title": "fix bug"}
* @param operator 操作人,从 Spring Security 上下文中取
*/
public SkillResult invokeSkill(String skillName, Map parameters, String operator) {
// 1. 先记日志:谁想调什么
SkillAudit audit = new SkillAudit();
audit.setOperator(operator);
audit.setSkillName(skillName);
audit.setRequestParams(parameters.toString());
audit.setInvokeTime(LocalDateTime.now());
try {
// 2. 调 OpenClaw
JsonNode response = webClient.post()
.uri("/mcp/tools/call")
.bodyValue(Map.of(
"jsonrpc", "2.0",
"id", System.currentTimeMillis(),
"method", "tools/call",
"params", Map.of(
"name", skillName,
"arguments", parameters
)
))
.retrieve()
.bodyToMono(JsonNode.class)
.timeout(Duration.ofSeconds(30))
.block();
// 3. 处理结果
String result = response.get("result").get("content").get(0).get("text").asText();
audit.setStatus("SUCCESS");
audit.setResponse(result.substring(0, Math.min(result.length(), 1000))); // 太长的截断存
return new SkillResult(true, result, null);
} catch (Exception e) {
log.error("技能调用失败: {}", skillName, e);
audit.setStatus("FAILED");
audit.setErrorMsg(e.getMessage());
return new SkillResult(false, null, e.getMessage());
} finally {
auditRepository.save(audit); // 落库,留痕
}
}
}代码解读:
discoverSkills会在启动时把 OpenClaw 里装的技能全拉过来,比如browser-navigate(浏览器跳转)、github-issue-create(提 Issue)等invokeSkill做了三层防护:参数校验(前面加)、执行记录(中间记)、异常捕获(后面兜底)- MCP 协议要求 JSON-RPC 2.0 格式,
content字段是数组,因为 AI 可能返回多段内容(文本+图片)
五、企业级增强:权限控制与技能编排
光能调技能还不够,企业场景必须解决"谁能调"和"怎么串"的问题。
5.1 RBAC 权限模型
建一张 skill_permission 表,配置角色能用的技能:
java
@Entity
public class SkillPermission {
@Id
private Long id;
private String role; // ADMIN/DEVELOPER/GUEST
private String skillName; // 支持通配符,比如 "github-*"
private boolean allowed; // true 允许,false 拒绝
}在 Service 层加切面:
java
@Aspect
@Component
public class SkillSecurityAspect {
@Autowired
private SkillPermissionRepository permissionRepo;
@Before("execution(* com.example.openclaw.service.OpenClawSkillService.invokeSkill(..)) && args(skillName,..,operator)")
public void checkPermission(String skillName, String operator) {
// 查用户角色(简化示例,实际从 JWT 或 Session 取)
String role = getRoleByOperator(operator);
List permissions = permissionRepo.findByRoleAndSkillNameLike(role, skillName);
boolean allowed = permissions.stream().anyMatch(SkillPermission::isAllowed);
if (!allowed) {
throw new AccessDeniedException("您无权调用技能: " + skillName);
}
}
}这样财务部的妹子就算拿到了系统账号,也调不动 shell-exec 这种危险技能,只能玩玩 excel-generate(生成表格)。
5.2 技能编排:把工作流串起来
单个技能是原子操作,但业务往往是流程化的。比如"每天早会前自动拉取 GitHub 昨日提交,生成统计图表,发邮件给团队"------这涉及 3 个技能。
用 Java 写个简单的 DAG(有向无环图)调度:
java
@Service
public class SkillOrchestrationService {
@Autowired
private OpenClawSkillService skillService;
/**
* 执行工作流
* @param workflow 定义好的步骤列表
* @param context 上下文,用于步骤间传参
*/
public void executeWorkflow(List workflow, Map context, String operator) {
for (WorkflowStep step : workflow) {
// 1. 参数模板渲染(比如把上一步的返回值塞进去)
Map params = renderTemplate(step.getParamsTemplate(), context);
// 2. 调技能
SkillResult result = skillService.invokeSkill(step.getSkillName(), params, operator);
if (!result.isSuccess()) {
throw new WorkflowException("步骤 " + step.getName() + " 失败: " + result.getError());
}
// 3. 结果写回上下文,下一步能用
context.put(step.getOutputKey(), result.getData());
}
}
private Map renderTemplate(Map template, Map context) {
Map rendered = new HashMap<>();
template.forEach((k, v) -> {
// 简单替换,比如 "{{github.commits}}" 换成 context 里的真实数据
if (v.startsWith("{{") && v.endsWith("}}")) {
String key = v.substring(2, v.length() - 2);
rendered.put(k, context.get(key));
} else {
rendered.put(k, v);
}
});
return rendered;
}
}使用示例:
java
// 定义一个"晨会报告"工作流
List morningReport = Arrays.asList(
new WorkflowStep("github-commits-yesterday", Map.of("repo", "myapp"), "commits"),
new WorkflowStep("chart-generate", Map.of("data", "{{commits}}", "type", "bar"), "chart"),
new WorkflowStep("email-send", Map.of("attachment", "{{chart}}", "to", "team@company.com"), null)
);
orchestrationService.executeWorkflow(morningReport, new HashMap<>(), "admin");这玩意儿一跑,AI 自动帮你卷日报,你安心摸鱼吃早餐就行。
六、监控与运维:别让 AI 成了"黑盒"
企业系统最怕不可观测。OpenClaw 默认的日志是本地文件,咱得把它接进 ELK 或 Prometheus。
6.1 审计日志可视化
前面代码里的 SkillAudit 表,可以暴露个 REST 接口给前端做报表:
java
@RestController
@RequestMapping("/api/admin/audit")
public class AuditController {
@GetMapping("/stats")
public Map getStats(
@RequestParam @DateTimeFormat(iso = DateTimeFormat.ISO.DATE) LocalDate start,
@RequestParam @DateTimeFormat(iso = DateTimeFormat.ISO.DATE) LocalDate end) {
// 统计每天调用量、成功率、Top10 热门技能
return Map.of(
"totalCalls", auditRepository.countByDateRange(start, end),
"successRate", auditRepository.calcSuccessRate(start, end),
"topSkills", auditRepository.findTopSkills(start, end, PageRequest.of(0, 10))
);
}
}老板一看报表:"哟,这 AI 每天帮咱们处理了 300 次代码审查,省了 2 个人力,投资回报率不错。"
6.2 健康检查
OpenClaw 的 Gateway 如果挂了,Java 侧得知道。写个定时任务 ping:
java
@Component
public class OpenClawHealthChecker {
@Autowired
private WebClient webClient;
@Scheduled(fixedRate = 60000) // 每分钟
public void check() {
try {
webClient.get()
.uri("/health") // OpenClaw 自带健康端点
.retrieve()
.toBodilessEntity()
.timeout(Duration.ofSeconds(5))
.block();
// 上报 Prometheus 指标,标记为 UP
} catch (Exception e) {
// 标记为 DOWN,触发告警
alertService.send("OpenClaw Gateway 失联,请检查 Docker 容器状态");
}
}
}七、避坑指南:血与泪的教训
最后说几个实际踩过的坑,帮你省点时间:
-
MCP 连接数爆炸
OpenClaw 的 MCP 适配器默认单连接,如果 Java 侧用连接池并发调,会报 Connection reset。解决方案:加个断路器(Resilience4j),或者把调用改成队列串行执行。毕竟 AI 处理本身也不适合高并发狂轰滥炸。
-
技能参数格式不统一
有些技能(比如浏览器自动化)的参数是嵌套 JSON,有些是扁平的。建议在你的 SpringBoot 里包一层参数转换器,把前端统一的格式转成各技能要求的特定格式,别让前端直接透传。
-
长任务超时
让 AI 生成一份 50 页的 PDF 报告,可能要跑 2 分钟。MCP 默认 30 秒超时肯定不够,记得在 application.yml 里调大 timeout,并且前端做成轮询或 WebSocket 异步通知,别傻等。
-
敏感数据脱敏
如果技能要调 GitHub、邮箱,免不了接触 Token。在 invokeSkill 之前,务必把参数里的 password、token 关键字用 *** 替换后再记审计日志,否则日志泄露就是重大事故。
八、总结
这套方案的核心思路是**"Java 管治理,OpenClaw 管执行"**:
- OpenClaw 作为"数字员工",负责接杂活、干实事(浏览器操作、代码提交、数据处理)
- SpringBoot 作为"人事部+财务部",管考勤(审计)、管权限(RBAC)、管 KPI(监控)
两者通过标准的 MCP 协议对接,不侵入对方核心代码,进退自如。
最后提醒一句:OpenClaw 虽然香,但大模型调用是按 Token 收费的。你司要是每天跑几千次技能,记得盯紧账单,别让 AI 把你卷破产了。
完整示例代码已整理成可运行项目,包含 Docker Compose 一键启动脚本。如果卡在某个步骤,建议先检查 OpenClaw 容器日志(docker logs openclaw-gateway),大部分问题都是网络不通或模型 API Key 没配。
祝你的 AI 员工早日上岗,你早日退休钓鱼。
无意间发现了一个CSDN大神的人工智能教程,忍不住分享一下给大家。很通俗易懂,重点是还非常风趣幽默,像看小说一样。床送门放这了👉 http://blog.csdn.net/jiangjunshow
