2026 OpenClaw Telegram Mini App : web_app inline, domaines HTTPS, recette Gateway (macOS loué)
Quand le gateway est stable et que les messages passent, mais que le web_app inline reste blanc, beaucoup d’équipes redémarrent le gateway avant d’auditer TLS et le domaine BotFather. Ce guide s’adresse aux ops et développeurs : trois familles de douleur, une matrice BotFather/TLS/gateway, sept étapes ordonnées, un tableau de triage, trois chiffres exploitables et un rythme de location macOS de 1 à 3 jours, avec liens vers l’appairage de canaux, le guide d’installation, la synchro models, v2026.5.5 et la FAQ SSH/VNC.
Sommaire
- 01 · Douleurs : WebView blanche, domaine vs canal, faux positifs gateway
- 02 · Matrice : BotFather, HTTPS, contenu mixte, gateway
- 03 · Sept étapes : gel jusqu’à archivage
- 04 · Triage : symptôme, action, erreur fréquente
- 05 · Métriques, mythes, cadence 1–3 jours sur macOS loué
- 06 · SSH Linux vs location Mac : chaîne de preuve
- 07 · Callbacks : initData, dérive d’horloge, idempotence, budgets d’outils
- 08 · Observabilité : du « ça charge » au rollback mesurable
01 · Douleurs : WebView blanche, domaine vs canal, faux positifs gateway
Quand le gateway est stable et que les messages passent, mais que le web_app inline reste blanc, beaucoup d’équipes redémarrent le gateway avant d’auditer TLS et le domaine BotFather. Ce guide s’adresse aux ops et développeurs : trois familles de douleur, une matrice BotFather/TLS/gateway, sept étapes ordonnées, un tableau de triage, trois chiffres exploitables et un rythme de location macOS de 1 à 3 jours, avec liens vers l’appairage de canaux, le guide d’installation, la synchro models, v2026.5.5 et la FAQ SSH/VNC.
1) Chaîne HTTPS, contenu mixte et domaines BotFather sont orthogonaux au « canal répond ». 2) Ne pas fusionner timeouts d’outils et WebView blanc. 3) Séparer les nuits TLS et plugins npm.
02 · Matrice : BotFather, HTTPS, contenu mixte, gateway
| A | B | C |
|---|---|---|
| TLS | openssl / curl -I | Desktop+Mobile |
| BotFather | domain list | timestamp screenshot |
| Gateway | request id | tool budget |
Links: Canaux Telegram & liste blanche, Guide d’installation, Sync models, v2026.5.5.
03 · Sept étapes : gel jusqu’à archivage
- Geler version et chemin openclaw.json
- Sonde TLS et sauver la chaîne
- Comparer domaines BotFather et hôte réel
- Message inline web_app minimal
- CSP / service worker front
- Corréler la passerelle via request id
- Archiver journaux masqués, effacer jetons
openssl s_client -servername app.example.com -connect app.example.com:443 </dev/null04 · Triage : symptôme, action, erreur fréquente
| S | F | M |
|---|---|---|
| white | mixed content | restart gw |
| no callback | ingress 502 | tweak allowlist only |
05 · Métriques, mythes, cadence 1–3 jours sur macOS loué
- D1: Sous 15 Go libres, les builds parallèles deviennent risqués
- D2: Triple pièce jointe TLS+desktop+mobile réduit faux restarts
- D3: Lier request id raccourcit la passation
Day1 freeze+TLS; Day2 CSP+gateway; Day3 rollback+wipe.
06 · SSH Linux vs location Mac : chaîne de preuve
Les gateways Linux en SSH sont économiques, mais aligner Telegram desktop, Safari/Chrome et sondes TLS la même nuit coûte en double sauts de logs et décalages de fuseau. Une location courte de macOS natif regroupe la chaîne de preuve ; les conteneurs servent aux pics, la location journalière aligne l’OPEX sur la fenêtre. Voir FAQ SSH/VNC et Tarifs Mac mini M4.
07 · Callbacks : validation initData, dérive d’horloge, idempotence, budgets OpenClaw
Lorsque le Mini App POSTe vers votre API puis déclenche des outils OpenClaw, la surface d’échec couvre signature, rejouage et quotas, pas seulement les assets. Laisser passer des champs initData non vérifiés vers la télémétrie invite le trafic forgé à consumer vos budgets nocturnes. La dérive NTP fausse les bords JWT et est confondue avec une panne modèle. Sur le Mac loué, figez captures d’horloge + timestamps gateway et imposez des clés d’idempotence (hachage query_id + identifiant utilisateur).
Séparez files d’attente et alertes pour webhooks/cron vs callbacks Mini App. Pour les outils avec approbation humaine, documentez le SLA et persistancez « non exécuté parce que » plutôt qu’un 504 nu.
08 · Observabilité : du chargement au rollback quantifié
Mesurez LCP/FCP dans WebView Telegram et Safari ; un écart supérieur à environ 800 ms impose une classification. Surveillez p95/p99 et buckets 401/403/429/502 pendant 24 heures après rotation certificat ; refusez une dégradation > 20 % sans dérogation écrite. Agréguez erreurs gateway par tool_name et auto-marquez les pics.
Garde dure : pas de bascule DNS production sans exercice de rollback bundle statique et empreinte certificat.