Codex CLI 安全配置实战：API Key 管理、额度限流与 OAuth2 鉴权的 4 步落地

1. Codex CLI 安全配置不是“加个密钥就完事”——API Key 泄露一次，整条流水线就裸奔

我上线第三个内部 Codex CLI 工具时，被安全团队叫停了。原因不是模型调用失败，而是扫描发现：.codexrc文件里明文存着OPENAI_API_KEY=sk-...，且该文件被意外提交到了公司私有 GitLab 的devops-tools仓库中。更糟的是，这个 key 绑定的是个人账户，额度上限 50 美元/月，而我们 CI 流水线每小时跑 12 次代码补全测试——不到两天就触发额度告警，CI 直接瘫痪。

这件事让我彻底放弃“先跑通再加固”的惯性思维。Codex CLI 的安全配置，本质是把一个外部 AI 服务，当成你本地开发环境里一个具备网络权限、能读取项目源码、甚至能执行 shell 命令的“高危进程”来对待。它不只关乎 API Key 是否加密，更涉及三个相互咬合的控制层：
-身份可信层（你是谁？凭什么调用？）→ OAuth2 鉴权
-能力约束层（你能调多少？调什么？）→ 额度限流 + 请求白名单
-凭证隔离层（密钥藏在哪？谁能看到？）→ API Key 管理策略

这三者缺一不可。只做 Key 加密，就像给保险柜装了指纹锁，却把钥匙插在柜门上；只配限流，等于给一辆没刹车的车装限速器；只上 OAuth2，又像给访客发了门禁卡，却不检查他进的是机房还是茶水间。

本文讲的“4 步落地”，不是教你怎么敲命令，而是带你亲手构建一套