我之前在部署Google OAuth相关服务到企业安全网络时，也碰到过一模一样的问题——按文档设置了HTTPS_PROXY环境变量但完全没生效，后来一步步排查才解决，给你分享几个实用的排查方向和解决方案：

1. 先确认环境变量是否真的被代码读取到 #

有时候看似设置了环境变量，但进程根本没读到：

• 在代码最开头加一行调试代码：console.log('HTTPS_PROXY:', process.env.HTTPS_PROXY)，启动应用后看看输出的代理地址是否和你设置的完全一致（有没有漏端口、拼写错误？比如把http://写成https://？）
• 注意环境变量的生效范围：
  • Linux/macOS下，如果你是在终端临时export HTTPS_PROXY=xxx，要确保是在同一个终端窗口启动应用；如果是用PM2这类进程管理工具，要把环境变量配置到PM2的启动脚本里。
  • Windows下设置环境变量后，需要重启终端或IDE才能让新的环境变量生效；如果用.env文件，要确保dotenv包在google-auth-library之前被加载。

2. 验证代理是否支持HTTPS隧道（CONNECT方法） #

Google OAuth的接口都是HTTPS协议，所以你的代理必须支持CONNECT方法（用来建立HTTPS隧道），很多企业代理默认会禁用这个：

• 用curl手动测试代理可用性：

  curl -x http://your-proxy-address:port https://accounts.google.com
  

  如果能正常返回HTML内容，说明代理支持CONNECT；如果返回错误（比如403、连接超时），那大概率是代理本身的配置问题，得联系运维开启对应权限。

3. 手动在代码中配置代理（绕过环境变量） #

有时候环境变量因为进程权限、库加载顺序等原因不生效，这时候可以手动创建代理Agent传给OAuth客户端：

• 先安装依赖包：

  npm install https-proxy-agent
  

• 修改代码，手动注入代理：

  const { OAuth2Client } = require('google-auth-library');
  const HttpsProxyAgent = require('https-proxy-agent');
  
  // 替换成你的代理地址
  const proxyConfig = 'http://your-proxy-address:port';
  const proxyAgent = new HttpsProxyAgent(proxyConfig);
  
  // 创建OAuth2Client时传入代理Agent
  const oAuth2Client = new OAuth2Client(
    'YOUR_CLIENT_ID',
    'YOUR_CLIENT_SECRET',
    'YOUR_REDIRECT_URI',
    { agent: proxyAgent }
  );
  
  // 后续所有OAuth请求都会通过这个代理发送
  

4. 处理代理需要身份验证的情况 #

如果你的企业代理需要用户名密码认证：

• 环境变量格式要写成：HTTPS_PROXY=http://username:password@proxy-address:port，注意密码里的特殊字符（比如@、:）要做URL编码（比如@转成%40）
• 手动配置Agent时也可以单独传入认证信息：

  const proxyAgent = new HttpsProxyAgent({
    host: 'proxy-address',
    port: 8080,
    auth: 'username:encoded-password'
  });
  

5. 排查企业防火墙的拦截 #

有些企业安全设备会在代理之外额外拦截请求，即使代理本身没问题：

• 让运维检查防火墙规则，是否允许访问以下Google OAuth相关域名的443端口：
  • accounts.google.com
  • oauth2.googleapis.com
  • www.googleapis.com

内容的提问来源于stack exchange，提问作者Seung Ho Jang