Go模块私有包权限管理依赖GOPRIVATE与GIT_TERMINAL_PROMPT环境变量协同,配合Git凭据配置或SSH密钥,禁用代理并启用认证;路径匹配为前缀匹配,非递归通配。
Go 模块的私有包权限管理,本质不是 Go 语言本身的功能,而是依赖 go 命令如何解析和拉取模块路径——关键在环境变量、代理配置与 Git 凭据三者的协同。直接改 go.mod 或加 //go:embed 都解决不了权限问题。
go get 报 401 Unauthorized 或 repository not found
常见于从 GitHub/GitLab 私有仓库或自建 Git 服务器(如 Gitea、Bitbucket)拉取模块时。根本原因不是 Go 不支持私有包,而是:
go 命令默认走 HTTPS,不自动携带 Git 凭据(即使本地 git clone 能成功)git.example.com/internal/utils)被当成公共域名处理,未触发凭据读取逻辑GOPROXY(如 https://proxy.golang.org),而该代理无法访问你的私有域必须同时设置两个环境变量,缺一不可:
GOPRIVATE=git.example.com/internal/* GIT_TERMINAL_PROMPT=0
GOPRIVATE 告诉 go 命令:匹配该 glob 的模块路径不走代理、不校验 checksum、允许跳过 TLS 验证(若需);GIT_TERMINAL_PROMPT=0 禁用交互式密码输入,强制走已配置的凭据助手。
立即学习“go语言免费学习笔记(深入)”;
然后确保 Git 已配置凭据存储:
git config --global credential.helper store,再执行一次 git clone https://git.example.com/internal/utils 输入账号密码(会明文存入 ~/.git-credentials)git config --global credential.helper manager(推荐 Git Credential Manager Core)如果私有 Git 服务支持 SSH,这是更干净的方案:
https://git.example.com/internal/utils 改为 git@git.example.com:internal/utils(注意是冒号分隔)~/.ssh/id_rsa 已添加到 Git 服务的 deploy keys 或用户 SSH keys 中GOPRIVATE 仍需设置,否则 go 会尝试把 git@git.example.com 当作域名去查 DNS 并失败go list -m -f '{{.Dir}}' git.example.com/internal/utils 应返回本地缓存路径在 GitHub Actions / GitLab CI 等环境中,不能依赖本地 ~/.git-credentials:
actions/checkout@v4 的 token 参数注入 GIT
HUB_TOKEN,并配置 
GOPRIVATE 和 git config:git config --global url."https://${{ secrets.PERSONAL_ACCESS_TOKEN }}@git.example.com".insteadOf "https://git.example.com"CI_JOB_TOKEN 类似处理,注意替换 URL 时保留路径前缀(如 https://gitlab.example.com/api/v4/groups/mygroup/-/projects).git/config 或代码中;所有凭据注入都应在 job 启动时通过 git config 动态完成最易被忽略的一点:GOPRIVATE 必须包含完整子域名和路径前缀,比如 git.example.com/internal/* 不会匹配 git.example.com/legacy/foo —— 它不会做通配符递归,只做前缀匹配。