checksum mismatch 是模块校验失败,源于 go.sum 记录的哈希值与实际文件内容不匹配,主因包括本地缓存损坏、代理返回污染包或上游篡改 tag;推荐先执行 go clean -modcache 清理缓存并删除 go.sum,再用 go get -u 或 go mod tidy 重建;若代理可疑,可临时设 GOPROXY=direct 验证,或配置多源回退;遇作者强制覆盖 tag 时,需改用 commit hash 锁定版本。
go get 报 checksum mismatch 是模块校验失败,不是网络或权限问题
这个错误本质是 Go 模块下载后,go.sum 文件里记录的哈希值和实际文件内容对不上。它不表示你连不上 GitHub,也不代表 GOPROXY 配错了——而是本地缓存、代理返回内容、或上游模块发布后被篡改/覆盖导致的校验冲突。
清理缓存 + 强制重新下载是最直接有效的解法
Go 的模块缓存($GOPATH/pkg/mod/cache)一旦混入损坏或过期的包,go get 就会反复校验失败。别试图手动删某个子目录,整仓清理更可靠:
- 运行
go clean -modcache—— 清掉所有已缓存模块 - 删掉项目根目录下的
go.sum(可选,但推荐,避免旧记录干扰) - 再执行
go get -u <module-path></module-path>或go mod tidy
注意:go clean -modcache 不影响 go.mod,也不会删你写的代码。
检查 GOPROXY 是否返回了被污染的镜像包
国内常用 https://goproxy.cn 或 https://proxy.golang.org,但部分代理节点可能缓存了早期带 bug 的版本,或同步滞后。临时绕过代理验证是否是它的问题:
立即学习“go语言免费学习笔记(深入)”;
- 执行
export GOPROXY=direct(Linux/macOS)或set GOPROXY=direct(Windows) - 再跑一次
go get,看是否仍报错 - 如果 direct 成功,说明代理返回的内容与官方不一致;可换用
https://proxy.golang.org或加,direct回退兜底,如GOPROXY=https://goproxy.cn,https://proxy.golang.org,direct
某些企业内网 proxy 会重写 module zip 包(比如注入 license header),这必然触发 checksum mismatch。
模块作者改了 tag 内容却没升版本号时无解,只能锁定旧 commit
这是最隐蔽也最难处理的情况:有人把 v1.2.3 tag 对应的代码库内容直接 push force 覆盖了,而 Go 的 checksum 是按 zip 包算的,内容一变就对不上。此时 go.sum 里存的是旧哈希,但新 zip 已不可逆。
- 查该模块在
go.sum中的行,找到对应 hash 值 - 用
go mod download -json <module>@<version></version></module>看它实际指向哪个 commit(有时 version 是 pseudo-version) - 若确认是作者违规操作,唯一稳妥办法是放弃 tag,改用 commit hash 锁定:
go get <module>@a1b2c3d</module>
这种 case 不常见,但一旦发生,重装、换代理、清缓存全无效——因为问题不在你本地,而在上游破坏了语义化版本契约。
