Go模块私有包权限管理依赖GOPRIVATE与GIT_TERMINAL_PROMPT环境变量协同,配合Git凭据配置或SSH密钥,禁用代理并启用认证;路径匹配为前缀匹配,非递归通配。
Go 模块的私有包权限管理,本质不是 Go 语言本身的功能,而是依赖 go 命令如何解析和拉取模块路径——关键在环境变量、代理配置与 Git 凭据三者的协同。直接改 go.mod 或加 //go:embed 都解决不了权限问题。
为什么 go get 报 401 Unauthorized 或 repository not found
常见于从 GitHub/GitLab 私有仓库或自建 Git 服务器(如 Gitea、Bitbucket)拉取模块时。根本原因不是 Go 不支持私有包,而是:
-
go命令默认走 HTTPS,不自动携带 Git 凭据(即使本地git clone能成功) - 模块路径(如
git.example.com/internal/utils)被当成公共域名处理,未触发凭据读取逻辑 - 启用了
GOPROXY(如https://proxy.golang.org),而该代理无法访问你的私有域
绕过 GOPROXY 并启用 Git 凭据的关键配置
必须同时设置两个环境变量,缺一不可:
GOPRIVATE=git.example.com/internal/* GIT_TERMINAL_PROMPT=0
GOPRIVATE 告诉 go 命令:匹配该 glob 的模块路径不走代理、不校验 checksum、允许跳过 TLS 验证(若需);GIT_TERMINAL_PROMPT=0 禁用交互式密码输入,强制走已配置的凭据助手。
立即学习“go语言免费学习笔记(深入)”;
然后确保 Git 已配置凭据存储:
- Linux/macOS:运行
git config --global credential.helper store,再执行一次git clone https://git.example.com/internal/utils输入账号密码(会明文存入~/.git-credentials) - Windows:用
git config --global credential.helper manager(推荐 Git Credential Manager Core)
使用 SSH 替代 HTTPS(更安全且免密码)
如果私有 Git 服务支持 SSH,这是更干净的方案:
- 将模块路径从
https://git.example.com/internal/utils改为git@git.example.com:internal/utils(注意是冒号分隔) - 确保
~/.ssh/id_rsa已添加到 Git 服务的 deploy keys 或用户 SSH keys 中 -
GOPRIVATE仍需设置,否则go会尝试把git@git.example.com当作域名去查 DNS 并失败 - 验证是否生效:
go list -m -f '{{.Dir}}' git.example.com/internal/utils应返回本地缓存路径
CI/CD 中避免硬编码凭据的实操方式
在 GitHub Actions / GitLab CI 等环境中,不能依赖本地 ~/.git-credentials:
- GitHub Actions:用
actions/checkout@v4的token参数注入GITHUB_TOKEN,并配置GOPRIVATE和git config:
git config --global url."https://${{ secrets.PERSONAL_ACCESS_TOKEN }}@git.example.com".insteadOf "https://git.example.com"- GitLab CI:用
CI_JOB_TOKEN类似处理,注意替换 URL 时保留路径前缀(如https://gitlab.example.com/api/v4/groups/mygroup/-/projects) - 永远不要把 token 写进
.git/config或代码中;所有凭据注入都应在 job 启动时通过git config动态完成
最易被忽略的一点:GOPRIVATE 必须包含完整子域名和路径前缀,比如 git.example.com/internal/* 不会匹配 git.example.com/legacy/foo —— 它不会做通配符递归,只做前缀匹配。
