正常的 chatgpt.com session 大约能维持 7-30 天,靠后台 silent refresh 自动续期。如果你每 5-15 分钟就被踢一次,问题肯定不在 session 时长,而是这三件事之一:cookie 被外力清掉、多个 tab 同时抢着刷 token 把彼此作废、或者公司 / 学校代理把 Set-Cookie 和 Authorization header 剥掉了。最快的判定方法:关掉 Wi-Fi,开手机热点(4G/5G),用 ChatGPT 工作 10 分钟。如果不再掉线,那就是网络问题(直接跳到 Step 5);如果还掉,那就是浏览器或系统时间的问题(Step 2-4、7)。
有一个 2026 年的变化值得先说:OpenAI 今年收紧了账号风控。同时在多台设备、多个地区登录,或者 IP 频繁跳变,现在都可能触发强制重新验证(有时还要你收短信)。所以”会话过期”不一定是你这边出了 bug——也可能是服务端主动作废了一个它认为有风险的 session。
你属于哪一类?
| 你实际看到的现象 | 最可能的原因 | 跳到 |
|---|---|---|
| 每次关掉再打开浏览器就掉线 | cookie 设了关闭即清,或扩展把它清了 | Step 3-4 |
| 在几个 ChatGPT 标签页之间切换后掉线 | 多 tab 抢 session token | Step 2 |
| 只在公司 / 学校网络或 VPN 下出现 | TLS 拦截代理重写 cookie;网页端会返回 403 Forbidden | Step 5 |
| 桌面 App 报证书 / “Network configuration issue” 错误 | App 的证书 pinning 拒绝代理证书 | Step 5 |
| 笔记本睡眠后或换网后出现 | 新 IP 触发重新验证 | Step 1、6 |
| 一登进去 token 就”过期” | 系统时间偏差 | Step 7 |
| 任何东西都不留存 | 你在用 Incognito / 隐私模式 | Step 6(浏览器一节) |
常见原因
1. 浏览器设了”关闭时清 cookie”或扩展在定期清
比如 Firefox 的 “Delete cookies and site data when you close Firefox”、Safari 的 ITP 把某些 cookie 限制在 7 天、以及 Cookie AutoDelete / Forget Me Not 这类每次切 tab 就清的扩展。
如何判断:打开 DevTools(F12 或右键 → Inspect)→ Application 标签 → Storage → Cookies → https://chatgpt.com → 找 __Secure-next-auth.session-token(大账号上可能被拆成 __Secure-next-auth.session-token.0 和 .1)。看它的 Expires / Max-Age 那一列。如果显示 “Session” 而不是几周后的具体日期,那就是关浏览器即失效。
2. 多个 tab 同时刷 session token
开着 3 个 chatgpt.com tab,每个在 init 时都会调 /api/auth/session。一个刷新成功并轮换了 token,其余几个手里就是旧 token,它们下一次 API 调用返回 401 Unauthorized,界面就提示”会话过期”。
如何判断:关掉所有 tab,只留 1 个并 pin 住,工作 15 分钟。如果掉线频率明显下降,就是多 tab 抢 token。
3. 公司 / 学校代理剥掉 SameSite=None 或跨域 Set-Cookie
TLS 拦截代理(Zscaler、Palo Alto Prisma Access、Cisco Umbrella、Netskope)会拆开 HTTPS 检查流量,再用自己的证书重新签名。两种典型故障:把 SameSite=None 改成 Strict,导致 chatgpt.com 和 auth.openai.com 之间的跨子域 cookie 失效;或者干脆把 __Secure- 前缀的 cookie 丢掉。当重写得太狠时,OpenAI 边缘现在会直接回一个 403 Forbidden,而不是悄悄让你重登。
如何判断:切到手机热点。如果 session 不再过期,就是公司代理。想直接确认:DevTools → Network → 刷新 → 点开 auth/session 请求 → Response Headers → 看 Set-Cookie 那一行是否还在、是否完整。
4. Wi-Fi ↔ 移动网络频繁切换,或 VPN IP 轮换
笔记本唤醒、Wi-Fi 重连、IP 变了,OpenAI 的风控可能把新 IP 当成潜在的 session 劫持,强制重新验证。轮换出口的 VPN 会让情况更糟,因为 IP 可能在会话中途就变了。
如何判断:固定一个网络、一个 VPN 节点试 30 分钟。不过期就说明是换网 / 换 IP 触发的。
5. 系统时间偏差
session 的 JWT 带有 iat(签发时间)和 exp(过期时间)。如果本地时钟偏差超过几分钟,刚签发的 token 一到你这边就被当成已过期。
如何判断:把你的时钟和 time.is 对一下。macOS 上 System Settings → General → Date & Time → “Set time automatically” 应当是打开的。
6. 在 Incognito / 隐私窗口里工作
如果你全程都在隐私窗口里,关掉窗口就清空一切——session 根本无法持久化,ChatGPT 的记忆功能也会时灵时不灵。
如何判断:窗口边框偏暗 / 带色,地址栏旁边有 “Incognito” 或 “Private” 标记。
最短修复路径
Step 1:环境判定——用你能控制的网络测一下
笔记本 → 关 Wi-Fi → 开手机热点(4G/5G)
→ 重新登 chatgpt.com → 工作 10-15 分钟
- 不再过期,或者网页端不再返回
403→ 是公司 / 学校网络问题,跳到 Step 5。 - 还是过期 → 是浏览器或系统层问题,继续 Step 2。
Step 2:只留一个 tab
关掉所有 chatgpt.com 标签页,重开一个并 pin 住,免得误点又开出重复页。要并行多个对话就在左侧栏切换,而不是多开 tab。如果确实需要两个窗口并排,用不同的 browser profile——每个 profile 有独立的 cookie jar,不会抢同一个 token。
Step 3:把 chatgpt.com 的 cookie 设成长期
Chrome: chrome://settings/cookies → "Sites that can always use cookies"
→ Add → [*.]chatgpt.com (以及 [*.]openai.com)
Firefox: about:preferences#privacy → "Custom"
→ 取消勾选 "Delete cookies and site data when Firefox is closed"
→ 或点 "Manage Exceptions",把 chatgpt.com 设为 Allow
Safari: Settings → Privacy → 确认 "Block all cookies" 没勾上
Step 4:禁用清 cookie 的扩展
chrome://extensions (Firefox 是 about:addons)→ 禁用或加白名单:
- Cookie AutoDelete
- Forget Me Not
- Privacy Cleaner / Click&Clean / History Eraser
- 会剥 set-cookie 的激进型广告 / 脚本拦截器
把 chatgpt.com 和 openai.com 加进每个扩展的 allow list,一般不用卸载就能解决。
Step 5:公司 / 学校代理处理
先确认有没有被拦截。在地址栏点小锁 / 调节图标 → Connection is secure → 证书详情 → 看签发者(issuer):
"Let's Encrypt" / "Google Trust Services" / "DigiCert" → 真证书,没拦截
公司名 / "Zscaler" / "Palo Alto" / "Netskope" → TLS 拦截,cookie 被重写
如果是 TLS 拦截,这在客户端没法完全修——得让 IT 把 OpenAI 的域名加进 SSL/TLS 检查的 bypass 列表。把下面这段发给他们:
Subject: Request SSL-inspection bypass for OpenAI domains
Domains: *.openai.com, *.chatgpt.com, *.oaistatic.com, *.oaiusercontent.com
Reason: ChatGPT relies on SameSite=None cross-site auth cookies. Our proxy
rewrites/strips them during HTTPS inspection, so the session expires
every 5-15 minutes and the edge sometimes returns 403 Forbidden.
Impact: Lost work time across the team.
Note: The macOS desktop app uses certificate pinning and will fully refuse
to connect through an inspecting proxy, so a bypass (not just an
allowlist) is required.
桌面 App 在 2026 年有个重要变化:OpenAI 在 2026 年上半年逐步取消了那些原本能让部分拦截型代理通过的企业证书 pinning 例外,最后一个(WellPoint)在 2026 年 4 月 23 日 被移除。现在桌面 App 会用证书 / “Network configuration issue” 错误拒绝任何拦截型代理,根本起不来——而且已经没有可申请的 allowlist 了。在 IT 放行检查之前,请用普通浏览器打开 ChatGPT(基于 cookie,没有 pinning),多数代理下网页端仍然能用,哪怕 App 起不来。这和过去”直接用 App”的建议正好相反。参见 OpenAI 的 network recommendations。
Step 6:固定 VPN 出口(或干脆关掉 VPN)
NordVPN / ExpressVPN 等 → Settings → 关掉 "Auto-select server"
→ 手动选一个固定节点(最好同城)
→ 关掉 IP 轮换以及任何 "换服务器自动重连" / kill-switch 行为
如果 ChatGPT 其实不需要走 VPN,最干净的做法是对 openai.com / chatgpt.com 域名关掉 VPN(多数 VPN 客户端支持分流 / split tunneling)。
Step 7:校准系统时间
macOS: System Settings → General → Date & Time → "Set time automatically" 打开
Windows: Settings → Time & language → Date & time → "Set time automatically" 打开
→ 同时打开 "Set time zone automatically" → 点 "Sync now"
Linux: sudo timedatectl set-ntp true
Step 8:清掉其他设备上的残留会话
如果某台手机或旧笔记本在别处一直登着(或你怀疑有人能进你的号),一个不是你发起的 session 会持续把你这边的作废掉。截至 2026 年 6 月,ChatGPT 有了自助面板:
chatgpt.com → 右上角头像 → Settings → Security → Active sessions
每一行显示设备类型、大致位置和登录时间。不认识的用 Log out 结束,或者用 Log out of all sessions → Log out of all devices 一次性重置全部(这会连你当前的 session 一起登出,最多约 30 分钟才完全生效)。然后只在你常用的那一台上重新登录。
如何确认修好了
- 先只应用上面那张表里和你对上的那一条修复。
- 刷新
chatgpt.com,打开 DevTools → Application → Cookies,确认__Secure-next-auth.session-token现在显示的是几周后的真实 Expires 日期,而不是 “Session”。 - 不碰 tab、不换网络,连续工作 30 分钟。没有”会话过期”提示、Network 标签里也没有
401/403,就说明找对了。 - 如果还反复,就顺着表往下走——cookie 被清、多 tab 抢、代理这三大主因彼此独立,可能叠加出现。
常见问题
为什么只有在公司,ChatGPT 才几分钟掉一次线?
几乎总是 TLS 拦截代理(Zscaler、Netskope、Palo Alto、Umbrella)重新签名 OpenAI 流量、破坏了 SameSite=None 的认证 cookie——有时还会直接返回 403 Forbidden。用手机热点确认(Step 1),再让 IT 把 *.openai.com 和 *.chatgpt.com 从检查里 bypass(Step 5)。
公司网络下 ChatGPT 桌面 App 打不开,但网页能用,为什么? macOS 桌面 App 用了证书 pinning,而 OpenAI 在 2026 年 4 月取消了最后的企业例外,所以它拒绝走任何拦截型代理。浏览器基于 cookie、没有 pinning,所以仍然能用。在 IT 放行 SSL 检查之前,就用浏览器。
该看的 cookie 是 __Secure-next-auth.session-token 吗?
是的,截至 2026 年 6 月它仍是 session cookie。大账号上可能被拆成 __Secure-next-auth.session-token.0 和 .1。如果它的 Expires 显示 “Session”,说明你的浏览器或某个扩展把它设成了关闭即清(Step 3-4)。
会不会是账号被盗,而不是设置问题? 有可能。OpenAI 的 2026 风控在看到多地同时登录时会强制重新验证。打开 Settings → Security → Active sessions(Step 8),如果看到不认识的设备或位置,就登出全部会话并改密码。
清 cookie 能解决吗? 它只清掉一个症状(坏掉的 cookie),不治本。如果真正的原因是多 tab 抢、代理或扩展,重新登进去后 session 又会过期。先用表来诊断。
ChatGPT 的 session 本来应该多久过期一次? 大约 7-30 天,并且自动 silent refresh,所以你本该很少需要重登。如果是分钟级别的过期,就说明上面某个原因在和续期作对。
预防建议
- ChatGPT 用专门的 browser profile,cookie 设成永久保留、只装必要的扩展。
- 只开一个
chatgpt.comtab,多个对话用左侧栏切换,别多开 tab。 - 在受管设备上,先确认 IT 已把
*.openai.com/*.chatgpt.com从 SSL 检查里 bypass,再依赖 App。 - VPN 优先选固定 / dedicated IP 节点,别用轮换出口;或把 ChatGPT 从 VPN 里分流出去。
- 系统时间保持自动同步。
- 别长期在 Incognito 里工作——既不持久化 session,记忆功能也会变得不可靠。
- 定期看一眼 Settings → Security → Active sessions,把不再用的设备删掉。
相关阅读
标签: #ChatGPT #ChatGPT 账号 #排查 #排查 #会话过期