https://reatang.com/tags/%E4%BB%A3%E7%90%86/Recent content in 代理 on 雨的味道Hugo -- gohugo.iozh-cnMon, 01 Jun 2026 01:41:00 +0800https://reatang.com/p/openclaw-openai-codex-oauth-proxy-fix/Mon, 01 Jun 2026 01:41:00 +0800https://reatang.com/p/openclaw-openai-codex-oauth-proxy-fix/<p>折腾了一晚上，各种方案都试了，最后发现根子不在系统代理，也不完全在 Node.js，而在 OpenClaw 的 OAuth token exchange 调用没有显式启用环境变量代理。</p> <p>结论先放前面：<strong>OpenClaw 的 <code>fetchWithSsrFGuard</code> 默认是 <code>STRICT</code> 模式，不会自动读取 <code>HTTP_PROXY</code> / <code>HTTPS_PROXY</code>。</strong> 这会导致 <code>https://auth.openai.com/oauth/token</code> 这个请求直接裸连，在受限网络环境里自然会失败。</p> <h2 id="现象">现象 </h2><p>执行 OpenAI Codex OAuth 登录：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl"><span class="nv">HTTP_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 <span class="nv">HTTPS_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 openclaw models auth login --provider openai-codex </span></span></code></pre></td></tr></table> </div> </div><p>系统层面的代理是通的，浏览器和 <code>curl</code> 也没问题，但 OpenClaw 在 OAuth 回调后的 token exchange 阶段失败。</p> <p>一开始很容易以为是 Node.js 22 原生 <code>fetch()</code> 不走代理的问题。这个判断不算错，但还不够具体。真正影响这次调用的是 OpenClaw 自己封装的 <code>fetchWithSsrFGuard</code>。</p> <h2 id="试过但没用的方案">试过但没用的方案 </h2><table> <thead> <tr> <th>方案</th> <th>失败原因</th> </tr> </thead> <tbody> <tr> <td><code>NODE_OPTIONS=&quot;--require proxy-fix.js&quot;</code> + undici <code>ProxyAgent</code></td> <td>preload 无法稳定影响 fork 出来的子进程</td> </tr> <tr> <td>socks5 代理</td> <td>原生 <code>fetch</code> 不认 socks5 环境变量</td> </tr> <tr> <td><code>global-agent</code> bootstrap</td> <td>对 Node.js 原生 <code>fetch</code> 无效</td> </tr> <tr> <td>手动 <code>curl</code> 换 token</td> <td>PKCE verifier 在进程内存里，外部拿不到</td> </tr> <tr> <td><code>proxychains</code></td> <td>需要额外安装和 sudo，不想把问题复杂化</td> </tr> </tbody> </table> <p>这些方案都在外围绕圈。真正应该看的，是 OpenClaw 代码里这次请求到底怎么发出去的。</p> <h2 id="根本原因">根本原因 </h2><p>问题集中在 OAuth token exchange：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-txt" data-lang="txt"><span class="line"><span class="cl">https://auth.openai.com/oauth/token </span></span></code></pre></td></tr></table> </div> </div><p>OpenClaw 内部调用 <code>fetchWithSsrFGuard</code> 时，带了类似这样的审计上下文：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-js" data-lang="js"><span class="line"><span class="cl"><span class="nx">auditContext</span><span class="o">:</span> <span class="s2">&#34;openai-codex-oauth-token&#34;</span> </span></span></code></pre></td></tr></table> </div> </div><p>但没有传：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-js" data-lang="js"><span class="line"><span class="cl"><span class="nx">proxy</span><span class="o">:</span> <span class="s2">&#34;env&#34;</span> </span></span></code></pre></td></tr></table> </div> </div><p>也就是说，即使外部设置了：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl"><span class="nv">HTTP_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 </span></span><span class="line"><span class="cl"><span class="nv">HTTPS_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 </span></span></code></pre></td></tr></table> </div> </div><p>这次请求也不会自动走代理。</p> <p>更坑的是，<code>fetchWithSsrFGuard</code> 还有 DNS pinning 相关保护。要允许环境变量代理，需要同时传：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-js" data-lang="js"><span class="line"><span class="cl"><span class="nx">dangerouslyAllowEnvProxyWithoutPinnedDns</span><span class="o">:</span> <span class="kc">true</span> </span></span></code></pre></td></tr></table> </div> </div><p>所以根因可以拆成三层：</p> <ol> <li>Node.js 22 原生 <code>fetch()</code> 默认忽略 <code>HTTPS_PROXY</code> / <code>HTTP_PROXY</code> 环境变量</li> <li>OpenClaw 的 <code>fetchWithSsrFGuard</code> 默认使用 <code>STRICT</code> 模式，不走代理</li> <li>OAuth token exchange 请求直连 OpenAI，被受限网络环境拦截</li> </ol> <p>这不是单纯的 Node.js bug，更准确地说，是应用层代码没有为这个网络环境显式启用代理。</p> <h2 id="临时解决方案改源码">临时解决方案：改源码 </h2><p>我最后直接改了全局安装目录里的 OpenClaw 编译后文件。</p> <p>先说明：这是临时补丁。升级 OpenClaw 后可能会被覆盖，最好还是等上游在 OAuth 流程里正式支持代理参数。</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">sed -i <span class="s1">&#39;s/auditContext: &#34;openai-codex-oauth-token&#34;/auditContext: &#34;openai-codex-oauth-token&#34;, proxy: &#34;env&#34;, dangerouslyAllowEnvProxyWithoutPinnedDns: true/&#39;</span> ~/.nvm/versions/node/v22.22.0/lib/node_modules/openclaw/dist/openai-codex-oauth-flow.runtime-DuvjIJqY.js </span></span></code></pre></td></tr></table> </div> </div><p>然后重新执行登录：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl"><span class="nv">HTTP_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 <span class="nv">HTTPS_PROXY</span><span class="o">=</span>http://127.0.0.1:7890 openclaw models auth login --provider openai-codex </span></span></code></pre></td></tr></table> </div> </div><p>秒过。</p> <h2 id="关键点">关键点 </h2><ul> <li>OpenClaw 的 <code>fetchWithSsrFGuard</code> 支持 <code>proxy: &quot;env&quot;</code> 参数</li> <li>OpenAI Codex OAuth token exchange 流程里没有传这个参数</li> <li>设置 <code>HTTP_PROXY</code> / <code>HTTPS_PROXY</code> 只是必要条件，不是充分条件</li> <li>在这个场景下，还需要 <code>dangerouslyAllowEnvProxyWithoutPinnedDns: true</code> 绕过 DNS pinning 限制</li> <li>这是 OpenClaw 代理适配的问题，不是 Node.js 自己能自动解决的问题</li> </ul> <h2 id="教训">教训 </h2><p>代理问题最容易让人误判，因为它横跨系统环境、运行时、HTTP 客户端和应用封装。</p> <p>这次最大的教训是：<strong>别只盯着环境变量，要看代码实际怎么发请求。</strong></p> <p>以后遇到类似问题，我会先做两件事：</p> <ol> <li><code>grep</code> 目标域名或请求上下文，定位调用点</li> <li>看 HTTP 封装是否显式支持代理、是否真的传了代理参数</li> </ol> <p>很多时候，<code>HTTPS_PROXY</code> 设对了，请求还是裸连。不是代理没生效，而是应用层根本没打算读它。</p>