根本原因是git clone缺少凭证,需配置SSH或.netrc凭据并设置GOPRIVATE跳过代理。确保~/.netrc权限为600、格式正确,且GOPRIVATE包含对应域名。
Go get 拉取私有仓库时提示“permission denied”怎么办
根本原因不是 Go 本身不支持私有仓库,而是 go get 底层调用 git clone 时没拿到凭证。Git 默认不会把你的 SSH 密钥或 HTTPS 凭据透传给 Go,尤其在 CI 或无交互环境里,git 连不上,go get 就直接失败。
最直接的解法是让 Git 自己管好凭据,Go 完全不用改配置——它只是复用 Git 的认证机制。
- 优先用 SSH 方式:确保
git@github.com:org/private-repo.git能在终端手动git clone成功(即~/.ssh/id_rsa已加载、ssh-agent正常工作) - 若必须用 HTTPS(比如公司 GitLab 启用了双因素),就靠
~/.netrc或 Git 的credential.helper - CI 环境中避免硬编码密码,改用
git config --global url."https://oauth2:${GIT_TOKEN}@gitlab.example.com/".insteadOf "https://gitlab.example.com/"
.netrc 文件格式和权限陷阱
~/.netrc 是 Git(及多数命令行工具)读取 HTTP 凭据的标准位置,但 Go 不直接读它——Git 会读,而 go get 调用的是 Git,所以它间接生效。
常见翻车点:文件权限太宽松,Git 会直接忽略它并静默失败。
立即学习“go语言免费学习笔记(深入)”;
- 文件路径必须是
~/.netrc(不能是~/.netrc.gpg或其他名) - 内容格式严格:
machine gitlab.example.com login your-username password your-personal-access-token
- 权限必须是
600:chmod 600 ~/.netrc,否则 Git 报错Ignoring .netrc file - 每行末尾不能有多余空格,
login和password后不要加引号
Go Modules 下的 GOPRIVATE 环境变量必须设
即使 Git 凭据配好了,Go Modules 默认仍会尝试走 proxy(如 proxy.golang.org)拉私有模块,而 proxy 根本访问不了你的内网仓库,结果报 module not found 或 403。
GOPRIVATE 的作用是告诉 Go:“这些域名下的模块跳过 proxy 和 checksum 验证,直接走 Git”。它不解决认证问题,但不设它,前面所有凭证配置都白搭。
- 设置方式:
export GOPRIVATE="gitlab.example.com,github.company.com"(逗号分隔,支持通配符如*.company.com) - 验证是否生效:
go env GOPRIVATE,输出应包含你的域名 - 注意:如果用
go run或go build在子目录下执行,确保该 shell 环境已加载该变量(别只写在~/.bashrc却忘了source)
为什么不用 git credential store?
Git 的 credential.helper = store 会把密码明文存进 ~/.git-credentials,看起来更“原生”,但它和 .netrc 实际是互斥的——Git 只用其中一个。而 .netrc 更通用,被 curl、wget、甚至某些 IDE 内置 Git 也识别,调试时更容易定位问题。
更重要的是,git credential store 的存储路径可被 git config --global credential.helper 覆盖,一旦 CI 脚本或 Dockerfile 里误写了这句,本地 .netrc 就彻底失效,且毫无提示。
- 检查当前生效的 helper:
git config --get credential.helper - 如果输出非空,且你依赖
.netrc,就显式禁用:git config --global --unset credential.helper - CI 中建议统一用
insteadOf替换方案,比依赖文件更可控
私有模块认证链条很短:Git 凭据 → GOPRIVATE 开关 → Go 的模块解析器。任何一环断掉,错误信息都可能误导你去查 Go 配置,其实问题压根不在 Go。
