OpenAI Codex OAuth

Conecte seu agente aos modelos GPT usando sua subscription ChatGPT Plus/Pro/Team/Enterprise.

Visão geral

O OAuth do OpenAI Codex permite que você use sua subscription ChatGPT Plus, Pro, Team ou Enterprise para conectar seu agente aos modelos GPT (incluindo GPT-5.4) no QuickClaw, sem precisar de uma API key separada.

O consumo é debitado do rate limit da sua subscription ChatGPT — não dos créditos da API paga.

Apenas para plano Flex (BYOK)

OAuth é exclusivo do plano Flex. Nos planos Starter e Pro, o QuickClaw fornece os créditos de IA automaticamente.

Quando usar?

Use o OAuth do Codex se você:

Já assina ChatGPT Plus, Pro, Team ou Enterprise
Quer aproveitar o rate limit da subscription em vez de pagar a API por token
Prefere usar GPT-5.4 via Codex (endpoint otimizado para assistentes)

Prefira a API Key tradicional se você:

Não tem subscription ChatGPT ativa
Precisa de controle fino sobre gastos (billing por token)
Usa modelos fora do catálogo Codex (ex: embeddings, legacy)

Pré-requisitos importantes

Configurações obrigatórias na sua conta ChatGPT

Antes de começar, você precisa ajustar duas configurações na sua conta ChatGPT. Se não ajustar, o login OAuth vai falhar.

1. Desabilitar 2FA (temporariamente)

O fluxo OAuth do Codex não é compatível com verificação em duas etapas (2FA / Two-Factor Authentication) da OpenAI no momento. Enquanto o 2FA estiver ativo, você ficará travado na tela de MFA sem conseguir completar o login.

Acesse chatgpt.com → Configurações → Segurança
Localize a seção "Verificação em duas etapas"
Desabilite o toggle (você pode reabilitar depois do login OAuth ser concluído)

Segurança

Depois que o OAuth estiver conectado no QuickClaw, você pode reabilitar o 2FA. O token OAuth já salvo continua funcionando — o 2FA só afeta o login inicial.

2. Habilitar "Autorização por código de aparelho"

Esse é o mecanismo que o QuickClaw usa para autorizar sem depender de servidor local (como o CLI faz no seu terminal). Precisa estar ligado na sua conta.

Ainda em Configurações → Segurança
Role até a seção "Habilitar autorização por código de aparelho para o Codex"
Ligue o toggle (ele fica azul quando ativado)

A seção é próxima ao fim da página, junto com "Entrada segura com o ChatGPT". Se você não encontrar, seu plano ChatGPT pode não ter acesso ao Codex ainda — entre em contato com o suporte do ChatGPT.

Referência visual

Na sua página de Segurança do ChatGPT, você deve ver a opção como na imagem abaixo, com o toggle ligado (azul):

Habilitar autorização por código de aparelho para o Codex   [ ON ]
Usar o início de sessão com código de aparelho para
ambientes remotos, sem uma interface gráfica, em que
o fluxo normal pelo navegador não está disponível.

Modelos compatíveis

Modelos OpenAI suportados via OAuth Codex no QuickClaw:

gpt-5.4 — flagship atual
gpt-5.4-pro, gpt-5.4-mini, gpt-5.4-nano
gpt-5.3-codex, gpt-5.3-chat
gpt-5.2, gpt-5.2-pro, gpt-5.2-codex, gpt-5.2-chat
gpt-5, gpt-5-mini, gpt-5-nano
gpt-4.1, gpt-4.1-mini, gpt-4.1-nano
gpt-4o, gpt-4o-mini
o4-mini

Método A — Device Code (recomendado)

Login direto pelo dashboard do QuickClaw, sem instalar nada. Você vê um código curto (ex: HWIR-FHBDD), digita na página oficial da OpenAI e pronto — o modal detecta automaticamente a autorização.

Antes de começar

Certifique-se de ter feito os dois ajustes da seção Pré-requisitos: 2FA desabilitado e toggle "Autorização por código de aparelho" ligado.

Abra as configurações do agente

No dashboard do QuickClaw:

Abra o agente desejado
Vá na aba Configurações → seção Chaves Principais
Clique em Adicionar OAuth
Selecione o provider OpenAI (card verde)

Clique em "Conectar com OpenAI"

O QuickClaw gera um código curto (ex: ABCD-12345) e mostra no modal junto com um link para a página oficial da OpenAI.

O modal também inicia um polling em background — ele vai detectar automaticamente quando você concluir a autorização.

Digite o código na OpenAI

No modal, clique no link para auth.openai.com/codex/device — abre em uma nova aba.

Faça login com sua conta ChatGPT (Plus/Pro/Team/Enterprise)
Digite o código de 9 caracteres que aparece no modal do QuickClaw (ex: ABCD-12345)
Clique em Continuar e autorize o acesso do Codex CLI

Após autorizar, você verá uma página confirmando "Iniciou sessão no Codex". Pode fechar essa aba — o QuickClaw detecta sozinho.

Não precisa copiar nada

Diferente do Anthropic, aqui você não copia nenhum código. O QuickClaw faz polling a cada 5 segundos e detecta automaticamente quando você autoriza.

Pronto!

O modal do QuickClaw muda para "✅ Conectado com sucesso" automaticamente (em até 10 segundos após você autorizar na OpenAI).

Os tokens (access_token + refresh_token + chatgpt_account_id) são salvos criptografados no banco. O container do seu agente é reiniciado para carregar a nova configuração.

Se você já tinha outra chave OpenAI configurada, ela vira proteção — o OAuth é usado como principal e a API key só entra em ação se o OAuth falhar.

Método B — Codex CLI manual (avançado)

Se preferir gerar o token via terminal (útil para automações ou ambientes corporativos com browser restrito), você pode usar o Codex CLI oficial da OpenAI e extrair o refresh_token manualmente.

Quando usar este método

Use o método A (Device Code) sempre que possível — é mais rápido e não requer instalar nada. Use o método B apenas se tiver restrição de browser ou necessidade de automação.

Instale o Codex CLI

Requer Node.js 18+ e npm. Se não tiver, instale em nodejs.org (versão LTS).

🪟 Windows (PowerShell)

powershell

npm install -g @openai/codex

🍎 macOS / 🐧 Linux (Terminal)

bash

npm install -g @openai/codex

Faça login

No terminal, execute:

bash

codex login

O browser vai abrir automaticamente. Faça login com sua conta ChatGPT e autorize. Após autorizar, retorne ao terminal — o CLI confirma o login com sucesso.

Ambientes headless

Em ambiente sem browser (SSH, container), use codex login --device-auth. Funciona igual ao método A, mas controlado pelo CLI em vez do QuickClaw.

Extraia o refresh_token

Abra o arquivo de credenciais do Codex CLI:

Sistema	Caminho
🪟 Windows	`C:\Users\seu_usuario\.codex\auth.json`
🍎 macOS / 🐧 Linux	`~/.codex/auth.json`

Localize o campo refresh_token (começa com rt_ ou formato opaco) e copie o valor completo:

json

{
  "tokens": {
    "access_token": "eyJ...",
    "refresh_token": "rt_7dTlrArz3...",  // ← copie este valor
    "id_token": "eyJ..."
  }
}

Cole no QuickClaw

No dashboard do seu agente:

Vá na aba Configurações → Chaves Principais
Clique em Adicionar OAuth → selecione OpenAI
Em vez de clicar "Conectar", role até "Ou cole token manualmente"
Cole o refresh_token no campo
Marque o checkbox dos Termos de Uso
Clique em Salvar

O QuickClaw faz uma validação imediata (troca o refresh_token por um access_token). Se funcionar, o agente já começa a usar o OAuth.

Problemas comuns

Página "Iniciar sessão" trava ou não aceita digitar

Provavelmente sua conta tem 2FA ativo. Desabilite temporariamente:

Vá em chatgpt.com → Settings → Security
Desligue "Two-factor authentication"
Refaça o fluxo OAuth no QuickClaw
(Opcional) Reabilite o 2FA depois do OAuth funcionar

Erro 404 "device code não habilitado"

Sua conta não tem o toggle de autorização por código de aparelho ativo. Vá em chatgpt.com → Settings → Security e ligue a opção "Habilitar autorização por código de aparelho para o Codex".

Código "ABCD-12345" dá "inválido" na página da OpenAI

O código tem validade de 15 minutos. Se você demorou para digitar, expirou. Feche o modal no QuickClaw e clique em "Conectar com OpenAI" de novo — um código novo é gerado.

Modal fica em "Aguardando..." para sempre

Pode ser que você autorizou em uma conta diferente da que pensou, ou o polling parou por algum motivo. Feche o modal e tente de novo. Se persistir, verifique se está logado na conta correta em chatgpt.com.

Codex CLI não funciona / arquivo auth.json não existe

Se o codex login falhar ou não criar o arquivo, verifique:

Sua conta ChatGPT precisa ter acesso ao Codex CLI (geralmente Plus+)
Node.js 18+ instalado (node --version)
Sem bloqueio de firewall para auth.openai.com

Se nada resolver, use o método A (Device Code) pelo dashboard — mais simples.

Como o QuickClaw usa o token

O QuickClaw armazena o access_token + refresh_token + chatgpt_account_id criptografados no banco. Quando o agente precisa chamar um modelo GPT:

O Agent Manager injeta o token em auth-profiles.json dentro do container
O pi-ai (engine do OpenClaw) lê o arquivo e adiciona os headers corretos (Authorization: Bearer, chatgpt-account-id, OpenAI-Beta: responses=experimental, etc)
A request vai direto para chatgpt.com/backend-api/codex — sem passar pelo proxy
Quando o access_token expira (~1h), o pi-ai usa o refresh_token para gerar novo automaticamente
O refresh_token é rotacionado (cada refresh gera novo par)
O QuickClaw sincroniza o novo refresh_token de volta ao banco via reconcile (5min)

Refresh token rolling

Cada refresh gera um novo refresh_token. O antigo para de funcionar. O pi-ai + QuickClaw gerenciam isso automaticamente — você não precisa fazer nada.

Renovação

Como o refresh_token é rotacionado automaticamente, você geralmente não precisa fazer renovações manuais. Situações em que precisa reconectar:

Logout manual no ChatGPT ou mudança de senha → refresh_token revogado
Subscription ChatGPT expirada → token para de funcionar
OpenAI revoga o token por política → precisa autorizar novamente

Para renovar: clique em Conectar com OpenAI novamente no dashboard. Novo device code é gerado, você autoriza na OpenAI e pronto.

Dica: configure uma API key de proteção

Para evitar interrupções, configure também uma API key OpenAI como proteção. O QuickClaw usa o OAuth como principal e cai na API key automaticamente se o OAuth falhar.

OpenAI — API Key

Proximo

Google (Gemini)