解决 Codex 在 WSL/SSH/VSCODE 登录时报 “Token exchange failed: 403 Forbidden” 问题
在 使用 Codex 登录时,很多人会遇到这样的错误提示:
Token exchange failed: token endpoint returned status 403 Forbidden
具体来说就是你能打开登录界面 ,但是登录后直接黑屏连接不上。
这其实是因为 Codex CLI 在登录时会启动一个本地的 OAuth 回调服务器,用于接收浏览器的登录回调。但在 WSL 环境中,Windows 与 Linux 之间的端口转发机制有时会出问题,导致认证流程中断。
一、问题原因分析
Codex CLI 登录流程如下:
CLI 在 WSL 中启动本地回调服务器,例如
http://localhost:1455CLI 打开一个登录链接(通常用浏览器打开),完成授权后浏览器会尝试重定向回:
http://localhost:1455/?code=...理论上,Windows 浏览器访问的
localhost应该能自动映射到 WSL 的 127.0.0.1,从而回调成功。
但是在一些环境中,这个回调会失败,常见原因包括:
🔥 防火墙或杀毒软件拦截了 Windows → WSL 的回环连接;
🌐 IPv6 与 IPv4 解析不一致(
localhost指向::1而非127.0.0.1);💻 浏览器完全在 Windows 侧执行,而 Codex 回调服务器仅在 WSL 内监听。
结果就是:浏览器完成授权后无法访问 WSL 内的回调端口,CLI 等不到响应,于是报出 403 Forbidden。
二、解决方案
核心思路是:在 Windows 侧完成登录,然后把授权凭据复制到 WSL 内。
✅ 步骤 1:在 Windows 侧安装并登录
在 PowerShell(Windows 端) 里执行:
npm install -g @openai/codex codex根据提示在浏览器中完成登录。
成功后,Codex 会在本地生成凭据文件。
或者你如果成功用wsl或者vscode在别的服务器或者本地登录成功后 都会有这个凭证文件:
C:\Users\<你的用户名>\.codex\auth.json✅ 步骤 2:将凭据复制到 WSL
切换到 WSL 终端,执行:
mkdir -p ~/.codex
cp /mnt/c/Users/<你的用户名>/.codex/auth.json ~/.codex/auth.json
chmod 600 ~/.codex/auth.json
说明:
/mnt/c/是 WSL 挂载的 Windows C 盘;修改权限是为了避免 CLI 拒绝加载不安全的凭据文件。