在 使用 Codex  登录时，很多人会遇到这样的错误提示：

Token exchange failed: token endpoint returned status 403 Forbidden

具体来说就是你能打开登录界面 ，但是登录后直接黑屏连接不上。

这其实是因为 Codex CLI 在登录时会启动一个本地的 OAuth 回调服务器，用于接收浏览器的登录回调。但在 WSL 环境中，Windows 与 Linux 之间的端口转发机制有时会出问题，导致认证流程中断。

一、问题原因分析

Codex CLI 登录流程如下：

1. CLI 在 WSL 中启动本地回调服务器，例如

   http://localhost:1455

2. CLI 打开一个登录链接（通常用浏览器打开），完成授权后浏览器会尝试重定向回：

   http://localhost:1455/?code=...

3. 理论上，Windows 浏览器访问的 localhost 应该能自动映射到 WSL 的 127.0.0.1，从而回调成功。

但是在一些环境中，这个回调会失败，常见原因包括：

• 🔥 防火墙或杀毒软件拦截了 Windows → WSL 的回环连接；

• 🌐 IPv6 与 IPv4 解析不一致（localhost 指向 ::1 而非 127.0.0.1）；

• 💻 浏览器完全在 Windows 侧执行，而 Codex 回调服务器仅在 WSL 内监听。

结果就是：浏览器完成授权后无法访问 WSL 内的回调端口，CLI 等不到响应，于是报出 403 Forbidden。

二、解决方案

核心思路是：在 Windows 侧完成登录，然后把授权凭据复制到 WSL 内。

✅ 步骤 1：在 Windows 侧安装并登录

在 PowerShell（Windows 端） 里执行：

npm install -g @openai/codex codex

根据提示在浏览器中完成登录。
成功后，Codex 会在本地生成凭据文件。

或者你如果成功用wsl或者vscode在别的服务器或者本地登录成功后 都会有这个凭证文件：

C:\Users\<你的用户名>\.codex\auth.json

✅ 步骤 2：将凭据复制到 WSL

切换到 WSL 终端，执行：

mkdir -p ~/.codex
cp /mnt/c/Users/<你的用户名>/.codex/auth.json ~/.codex/auth.json
chmod 600 ~/.codex/auth.json

说明：

• /mnt/c/ 是 WSL 挂载的 Windows C 盘；

• 修改权限是为了避免 CLI 拒绝加载不安全的凭据文件。

✅ 步骤 3：验证是否登录成功