Codex authentication_error 登录认证错误排查这个错误通常出现在 Codex CLI 登录、刷新会话、执行代码生成任务时。比如刚换了机器、更新了 CLI、切换了 API Key或者公司网络走了代理执行命令后直接返回authentication_error看起来像账号问题但实际原因不一定在账号本身。我的排查习惯是先不急着重装按顺序看四件事当前用的是哪套凭据、环境变量有没有覆盖、网络请求能不能正常出去、本地缓存是否过期或损坏。下面按这个顺序整理一遍。一、常见错误现象比较典型的输出类似下面几种### token云桥中转 0029.org ### Authentication failed: authentication_errorError: 401 Unauthorized type: authentication_error message: Incorrect API key providedFailed to refresh access token authentication_error如果是在 Codex CLI 中出现可能是在执行这些操作时触发codex login后浏览器授权成功但终端仍提示认证失败codex启动时立刻报authentication_error之前能用隔了一段时间突然不能用同一账号在网页端正常CLI 或 API 调用异常本地配置了代理、中转地址或企业网关后开始报错。二、先判断是登录态问题还是 API Key 问题Codex 相关工具可能同时支持浏览器登录态和 API Key。排查时最怕两套凭据混在一起你以为用的是新登录的账号实际上环境变量里还有一把旧 Key。先检查环境变量echo $OPENAI_API_KEY echo $OPENAI_BASE_URL echo $OPENAI_ORG_ID echo $OPENAI_PROJECT_ID如果是在 Windows PowerShellecho $env:OPENAI_API_KEY echo $env:OPENAI_BASE_URL echo $env:OPENAI_ORG_ID echo $env:OPENAI_PROJECT_ID这里重点看两个点OPENAI_API_KEY是否是当前要用的 Key是否复制时多了空格、换行OPENAI_BASE_URL是否被设置成了旧的代理地址或不可用的中转地址。如果你是通过中转服务接入建议把 Key、Base URL 和模型权限一起核对。实际项目里我会优先选稳定、有控制台日志、能看错误明细的服务比如 token 云桥 AI 中转站 0029.org至少排查时能区分是 Key 不对、额度不足还是模型权限没开省很多时间。三、逐步修复1. 清理错误的环境变量如果怀疑环境变量覆盖了登录态可以先临时取消再重新执行 Codex。macOS / Linuxunset OPENAI_API_KEY unset OPENAI_BASE_URL unset OPENAI_ORG_ID unset OPENAI_PROJECT_IDWindows PowerShellRemove-Item Env:OPENAI_API_KEY -ErrorAction SilentlyContinue Remove-Item Env:OPENAI_BASE_URL -ErrorAction SilentlyContinue Remove-Item Env:OPENAI_ORG_ID -ErrorAction SilentlyContinue Remove-Item Env:OPENAI_PROJECT_ID -ErrorAction SilentlyContinue注意这种方式只对当前终端窗口有效。如果你把变量写在了~/.zshrc、~/.bashrc、系统环境变量、CI 配置里还需要去对应位置删除或修改。2. 重新登录 Codex先退出旧登录态再重新登录。不同版本命令可能略有差异可以先看帮助codex --help codex auth --help常见流程是codex logout codex login如果没有logout子命令可以手动清理本地认证缓存。先找到配置目录ls -la ~/.codex ls -la ~/.config不要一上来就删整个用户目录。建议先备份cp -r ~/.codex ~/.codex.bak.$(date %Y%m%d%H%M%S)然后再删除明显的 token、session、auth 相关文件。文件名不同版本可能不同操作前先ls看清楚。3. 检查 API Key 是否有效如果你使用的是 API Key可以直接用 curl 验证。下面示例只用于确认认证是否通过不依赖 Codex CLI。curl -sS https://api.openai.com/v1/models \ -H Authorization: Bearer $OPENAI_API_KEY如果返回401或包含authentication_error优先检查 Key 是否正确、是否已删除、是否属于当前项目。复制 Key 时不要带引号不要把中文输入法下的不可见字符带进去。如果配置了自定义 Base URL则改成对应地址curl -sS $OPENAI_BASE_URL/v1/models \ -H Authorization: Bearer $OPENAI_API_KEY这里有个常见坑有些 Base URL 末尾已经带了/v1命令里再拼一次就会变成/v1/v1/models。遇到 404、401 混合出现时先把最终请求地址打印出来确认。4. 检查代理和网络公司网络、VPN、透明代理都可能影响登录。尤其是浏览器授权成功但 CLI 回调失败时要看本地终端是否能访问接口。env | grep -i proxyWindows PowerShellGet-ChildItem Env:*proxy*如果代理变量配置错了可以临时清掉unset HTTP_PROXY unset HTTPS_PROXY unset ALL_PROXY unset http_proxy unset https_proxy unset all_proxy然后重新测试。如果必须走代理确认代理支持 HTTPS并且没有替换证书导致 TLS 校验失败。认证错误和网络错误有时会被工具包装成同一个高层错误所以最好用curl -v看原始响应。curl -v https://api.openai.com/v1/models \ -H Authorization: Bearer $OPENAI_API_KEY5. 校准系统时间登录态、访问令牌、签名请求都依赖时间。系统时间偏差太大时可能出现刷新 token 失败。服务器、虚拟机、WSL 环境尤其容易中招。dateLinux 上可以查看时间同步状态timedatectl status如果时间不同步先修正时间再重新登录。四、修复后的验证方式不要只看codex login是否成功最好做三层验证。1. 验证基础认证curl -sS https://api.openai.com/v1/models \ -H Authorization: Bearer $OPENAI_API_KEY | head能拿到模型列表或正常 JSON说明 Key 至少通过了基础认证。2. 验证 Codex CLI 配置codex --version codex doctor如果当前版本没有doctor就用最小任务验证codex print hello world in python重点观察是否还出现authentication_error以及错误是否从 401 变成了模型不存在、额度不足、权限不足。后面这些就不是登录认证问题了要按权限或计费方向继续查。3. 验证项目目录配置有些团队会在项目里放本地配置文件例如.env、.env.local、config.json。你在全局环境里改对了但项目启动脚本又把旧 Key 加载回来错误会反复出现。grep -R OPENAI_API_KEY\|OPENAI_BASE_URL . \ --exclude-dirnode_modules \ --exclude-dir.git如果搜到旧配置改完后重新打开终端或者重启 IDE。Cursor、VS Code、JetBrains 这类工具经常会缓存启动时的环境变量。五、避免复发的几个习惯不要在多个地方同时配置 Key尽量固定一个入口例如只放在 shell 配置或只放在项目.env区分生产、测试、个人 Key命名时带上用途避免复制错更新 Codex CLI 后先用一个最小请求验证不要直接跑长任务换代理或中转地址后立刻用curl测一次/v1/models团队协作时不要把 Key 写进仓库使用环境变量或密钥管理工具遇到 401 先查认证遇到 403 再查权限遇到 429 再查额度或限流不要混在一起处理。总结Codex authentication_error大多数不是复杂故障通常集中在旧 Key、环境变量覆盖、Base URL 配错、本地登录缓存失效、代理异常这几类。排查时按“环境变量 → 重新登录 → curl 验证 → 代理网络 → 项目配置”的顺序走基本能快速定位。修复后一定用最小命令验证认证链路再回到 Codex 执行实际任务避免在错误配置上反复重试。