安全只读云端文件管家

OpenClaw官方Dropbox只读集成技能，基于OAuth 2.0安全认证，支持文件浏览、搜索与下载，零写入风险保障云端数据安全。

基本信息

• 技能名称?dropbox-integration
• 中文名称?安全只读云端文件管家
• 作者?tirandagan
• 分类?专业技能
• 版本?v1.0.1
• 标签?content-media, docs, productivity, automation, api

使用方法

使用说明
核心用法
该Skill为OpenClaw平台提供与Dropbox账户的只读集成能力，用户可通过命令行脚本完成文件夹浏览、文件搜索和本地下载三大核心操作。使用时需先在Dropbox开发者控制台创建应用并获取App Key与App Secret，随后运行 setup-oauth.js 完成OAuth 2.0授权流程，系统将自动保存访问令牌与刷新令牌至本地。日常使用中，， browse.js 支持层级目录导航，， search-files.js 提供全库文件名检索，， download.js 可将云端文件拉取至指定本地路径。所有操作均通过封装好的 dropbox-helper.js 模块执行，该模块内置自动令牌刷新机制，在令牌过期前5分钟自动续期，确保长期使用的无缝体验。
显著优点
权限最小化设计 是该Skill最突出的安全特性，明确限定 files.content.read 、 、 files.metadata.read 和 account_info.read 三项只读权限，从根本上杜绝了误删、误改云端文件的可能性。技术实现上采用官方Dropbox SDK（v10.34.0），避免非官方库带来的潜在风险；凭证管理遵循安全最佳实践，， credentials.json 与 token.json 均被纳入 .gitignore`且设置0600文件权限，防止敏感信息泄露。自动化方面，令牌生命周期管理完全透明，用户无需手动处理过期问题。此外，Skill结构清晰、文档详尽，从快速开始指南到故障排查均有覆盖，10分钟左右的配置门槛对普通用户友好。
潜在缺点与局限性
功能层面， 严格的只读限制 虽保障了安全，但也意味着无法完成上传、同步、重命名等常见云盘操作，适用场景受限。技术约束方面，Dropbox API对单次下载文件大小存在约150MB的实际限制，大文件需分片处理；API调用存在速率限制，高频批量操作可能触发限流。OAuth流程中本地HTTP服务器使用明文传输（localhost:3000），虽因仅接收授权码且限于本机访问而风险可控，但仍非理想方案。此外，Skill依赖Node.js运行时环境，且需用户自行管理Dropbox应用的生命周期（如密钥轮换、权限审计），对非技术用户存在一定维护负担。
适合的目标群体
该Skill最适合 需要安全查阅云端资料但无需修改的OpenClaw用户 ，典型场景包括：研究人员批量获取Dropbox中的论文与数据集、内容创作者整理历史素材、团队协作中仅需只读访问的下游成员。对数据安全高度敏感的用户（如法律、医疗行业从业者）也会受益于其零写入权限设计。技术门槛上，具备基础命令行操作能力和Dropbox账户管理经验的用户可快速上手；完全无技术背景的用户可能需要参考详细的Setup Guide逐步配置。
使用风险
依赖项风险 ：Skill依赖特定版本的 dropbox npm包，若未来官方SDK出现安全漏洞或破坏性更新，可能影响功能稳定性。 凭证管理风险 ：尽管文件权限已限制，但本地存储的 token.json 若被恶意程序读取，攻击者可获得Dropbox只读访问权限，建议配合全盘加密使用。 路径遍历隐患 ：下载功能未对目标路径做严格校验，用户需自行确保 ./local/path 参数不会意外覆盖系统关键文件。 令牌失效场景 ：若用户在Dropbox控制台手动撤销应用授权或删除应用，本地刷新令牌将失效，需重新执行OAuth流程。 共享文件夹权限 ：Skill访问范围受限于Dropbox账户本身的共享权限配置，无法突破原始账户的访问边界。
content-media docs productivity automation api