成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

如何給自研 MCP 服務,加上安全認證?

作者:小傅哥
人工智能
Spring AI 是有意提供基于自家的 OAuth2 框架,完成 MCP 服務的多樣性權限校驗的。不過目前提供的方案能用,但不算成熟。

一、舉例,對接高德地圖 MCP

高德地圖 MCP Server;

{
  "mcpServers": {
    "amap-amap-sse": {
      "url": "https://mcp.amap.com/sse?key=您在高德官網上申請的key"
    }
  }
}
  • 官網:https://lbs.amap.com/api/mcp-server/gettingstarted  - 官網提供了創建對接 Key

1. 代碼使用示例

@Configuration
publicclass McpConfig {

    @Bean
    public List<NamedClientMcpTransport> mcpClientTransport() {
        McpClientTransport transport = HttpClientSseClientTransport
                .builder("https://mcp.amap.com")
                .sseEndpoint("/sse?key=<your_key>")
                .objectMapper(new ObjectMapper())
                .build();

        return Collections.singletonList(new NamedClientMcpTransport("amap", transport));
    }
    
}
  • 對接時,需要設定 sseEndpoint 如果不設定個,Spring AI 默認是對 builder 的 baseUrl 值添加 /sse 的。
  • 所以,如果你要對接外部帶有驗證權限的 MCP 服務,需要手動設置下 sseEndpoint 值。

2. 項目中的配置

小傅哥,帶著大家做的 Ai Agent,也支持了外部的這些帶有權限校驗的 MCP 服務。你可以,以多種方式進行配置。如;

{
 "baseUri":"https://mcp.amap.com",
        "sseEndpoint":"/sse?key=801aabf79ed0ff78603cfe85****"
}
{
 "baseUri":"https://mcp.amap.com",
        "sseEndpoint":"/sse?key=801aabf79ed0ff78603cfe85****"
}
  • 以上兩種配置方式,在 ai-agent-station 都做了兼容處理。以下是兼容代碼,學習這部分項目的伙伴,可以直接閱讀課程代碼。
@Slf4j
@Component
publicclass AiClientToolMcpNode extends AbstractArmorySupport {

   // ... 省略部分代碼

    protected McpSyncClient createMcpSyncClient(AiClientToolMcpVO aiClientToolMcpVO) {
        String transportType = aiClientToolMcpVO.getTransportType();

        switch (transportType) {
            case"sse" -> {
                AiClientToolMcpVO.TransportConfigSse transportConfigSse = aiClientToolMcpVO.getTransportConfigSse();
                // http://127.0.0.1:9999/sse?apikey=DElk89iu8Ehhnbu
                String originalBaseUri = transportConfigSse.getBaseUri();
                String baseUri;
                String sseEndpoint;

                int queryParamStartIndex = originalBaseUri.indexOf("sse");
                if (queryParamStartIndex != -1) {
                    baseUri = originalBaseUri.substring(0, queryParamStartIndex - 1);
                    sseEndpoint = originalBaseUri.substring(queryParamStartIndex - 1);
                } else {
                    baseUri = originalBaseUri;
                    sseEndpoint = transportConfigSse.getSseEndpoint();
                }

                sseEndpoint = StringUtils.isBlank(sseEndpoint) ? "/sse" : sseEndpoint;

                HttpClientSseClientTransport sseClientTransport = HttpClientSseClientTransport
                        .builder(baseUri) // 使用截取后的 baseUri
                        .sseEndpoint(sseEndpoint) // 使用截取或默認的 sseEndpoint
                        .build();

                McpSyncClient mcpSyncClient = McpClient.sync(sseClientTransport).requestTimeout(Duration.ofMinutes(aiClientToolMcpVO.getRequestTimeout())).build();
                var init_sse = mcpSyncClient.initialize();
                log.info("Tool SSE MCP Initialized {}", init_sse);
                return mcpSyncClient;
            }
            case"stdio" -> {
                AiClientToolMcpVO.TransportConfigStdio transportConfigStdio = aiClientToolMcpVO.getTransportConfigStdio();
                Map<String, AiClientToolMcpVO.TransportConfigStdio.Stdio> stdioMap = transportConfigStdio.getStdio();
                AiClientToolMcpVO.TransportConfigStdio.Stdio stdio = stdioMap.get(aiClientToolMcpVO.getMcpName());

                // https://github.com/modelcontextprotocol/servers/tree/main/src/filesystem
                var stdioParams = ServerParameters.builder(stdio.getCommand())
                        .args(stdio.getArgs())
                        .build();
                var mcpClient = McpClient.sync(new StdioClientTransport(stdioParams))
                        .requestTimeout(Duration.ofSeconds(aiClientToolMcpVO.getRequestTimeout())).build();
                var init_stdio = mcpClient.initialize();
                log.info("Tool Stdio MCP Initialized {}", init_stdio);
                return mcpClient;
            }
        }

        thrownew RuntimeException("err! transportType " + transportType + " not exist!");
    }

}
  • 以上代碼,是為了自動化構建 MCP 服務的,其中 case sse 的部分,會對 url 進行拆分,如果本身 url 配置了校驗權限,則不會從另外一個參數獲取,否則從另外參數拼接。這樣就可以很好的擴展用戶配置時的多樣性問題了。


以上是關于帶有權限校驗的 MCP 服務配置的問題,接下來,我們要說下怎么自己開發一個帶有權限校驗

二、實現,帶有權限校驗的 MCP 服務

首先,Spring AI 是有意提供基于自家的 OAuth2 框架,完成 MCP 服務的多樣性權限校驗的。不過目前提供的方案能用,但不算成熟。

圖片圖片

官網:https://spring.io/blog/2025/05/19/spring-ai-mcp-client-oauth2

1. 基于 OAuth2 認證

1.1 工程結構

圖片圖片

  • 工程:https://gitcode.net/KnowledgePlanet/mcp-server-auth - 面向于學習 ai-agent-station 的伙伴
  • 使用 OAuth2 基于 Spring MVC 的方式到也簡單,知道添加配置即可。

1.2 所需的 POM 文件

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.ai</groupId>
    <artifactId>spring-ai-starter-mcp-server-webmvc</artifactId>
</dependency>

1.3 測試驗證

@Slf4j
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT, properties = "server.shutdown=immediate")
publicclass ApiTest {

    @LocalServerPort
    privateint port;

    privatefinal ObjectMapper objectMapper = new ObjectMapper();

    @Test
    public void test_access_token() throws IOException, InterruptedException {
        String token = obtainAccessToken();
        log.info("token:{}", token);
        // eyJraWQiOiJiMWQ0MGIxNi1hOTYzLTQ2NmYtYTVkOC02NGRjMzg0ODljYWEiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJtY3AtY2xpZW50IiwiYXVkIjoibWNwLWNsaWVudCIsIm5iZiI6MTc0ODA1MTc1NiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo1ODA5OCIsImV4cCI6MTc0ODA1MjA1NiwiaWF0IjoxNzQ4MDUxNzU2LCJqdGkiOiI5NjY4ZmZkMi0wNjQ2LTRiNmItODQ4Ni1jYzk3ZjMxNTdmOTEifQ.CG4GYai_NYkmfcqmNi-_HYG06Kan04uNSsC2ivn_eC9Ra6xMKYTs9KIT7k5lKxSFRUOPI7K0zJNVvNXrrIe0iFl-csrG2vGukNTGTPMxtUi2hheBMRbnvjvuojW4DeOEE8UOpdA6uow67ucwcymTlDXE-k7OjRZeyp7UdVz2WyoDFQhLB6ihLbDSj5puAZxfNocirRzo36gmW243aW9f1gugPUcpND-oobc2q8xyBG2cX2AlGXUSS-v9PLjHr2W2smFTKHHGwu7FpMMBnJLUT5gZD0llIg6yqro91nFaAFOpGHXjRZYgVjkRlzxx08Zuquva9PbStxbUl2j8hI43_Q

        var client = HttpClient.newHttpClient();

        var request = HttpRequest.newBuilder()
                .uri(URI.create("http://localhost:" + port + "/sse"))
                .header("Accept", "text/event-stream")
                .header("Authorization", "Bearer " + token)
                .GET()
                .build();

        var responseCode = new AtomicInteger(-1);
        var sseRequest = client.sendAsync(request, HttpResponse.BodyHandlers.ofInputStream()).thenApply(response -> {
            responseCode.set(response.statusCode());
            if (response.statusCode() == 200) {
                log.info("response:{}", JSON.toJSONString(response));
                return response;
            }
            else {
                thrownew RuntimeException("Failed to connect to SSE endpoint: " + response.statusCode());
            }
        });

        await().atMost(Duration.ofSeconds(1)).until(sseRequest::isDone);
        assertThat(sseRequest).isCompleted();
        assertThat(responseCode).hasValue(200);
    }

    private String obtainAccessToken() throws IOException, InterruptedException {
        var client = HttpClient.newHttpClient();

        var clearTextCredentials = "mcp-client:secret".getBytes(StandardCharsets.UTF_8);
        var credentials = new String(Base64.getUrlEncoder().encode(clearTextCredentials));
        var request = HttpRequest.newBuilder()
                .uri(URI.create("http://localhost:" + port + "/oauth2/token"))
                .header("Authorization", "Basic " + credentials)
                .header("Content-Type", "application/x-www-form-urlencoded")
                .POST(ofString("grant_type=client_credentials"))
                .build();

        var rawResponse = client.send(request, HttpResponse.BodyHandlers.ofString()).body();

        Map<String, String> response = objectMapper.readValue(rawResponse, Map.class);
        return response.get("access_token");
    }
    
}
  • 加上 OAuth2 以后,就需要獲取并設置 accessToken 才能訪問 sse 服務了。

2. 基于網關實現

其實我們到不非得依賴于 Spring OAuth2 往 MCP 服務里在添加一些其他的東西。倒不如直接走網關,讓網關來管理權限,MCP 服務只做服務的事情就好。

這里我們基于 Nginx 來配置驗證功能,當然你可以在學習本節的案例后,配置任何其他的網關來管理你的 MCP 服務。

注意,這里的前置條件為你已經跟著小傅哥,至少完成了一個 MCP 服務。課程;https://t.zsxq.com/GwNZp

當我們有了一套基于 sse 形式訪問的 mcp 后,我們是可以給這套 mcp 基于 nginx 轉發的形式進行訪問后面真實的 mcp 服務的。在轉發的過程中,拿到用戶在地址 http://127.0.0.1:9999/sse?apikey=DElk89iu8Ehhnbu mcp 服務后面拼接的 apikey,并對 apikey 進行驗證。

2.1 配置工程

圖片圖片

  • 在 ai-agent-station 項目下,提供了 dev-ops-v2 配置 mcp 服務轉發和驗證能力。
  • 注意,部署的時候,要把 mcp.localhost.conf 轉發的 mcp 服務的地址,更換為你的地址。
  • 另外,每一個 mcp.localhost.conf 還可以配置域名,這樣就達到了高德地圖 mcp 訪問的效果。舉例;https://fatie.mcp.bugstack.cn/sse/apikey=*******

2.2 服務轉發&校驗

# 可以負載服務
upstream backend_servers {
    server 192.168.1.108:8101;
}

server {
    listen 80;

    server_name 192.168.1.104;  # 修改為你的實際服務器 IP 或域名【域名需要備案】

    location /sse {
        # 驗證apikey參數,這個apikey也可以對接服務端接口來處理。
        if ($arg_apikey != "DElk89iu8Ehhnbu") {
            return403; # 如果apikey不正確,返回403禁止訪問
        }

        # 重寫URL,去掉apikey參數
        rewrite ^(/sse/)\?apikey=.* $1break;

        proxy_pass http://backend_servers;  # 將請求代理到上游服務器組
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        chunked_transfer_encoding off;
        proxy_buffering off;
        proxy_cache off;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /mcp/message {
        proxy_pass http://backend_servers;  # 將請求代理到上游服務器組
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

}
  • 特別注意,mcp 服務是有2個步驟的,一個是 sse 訪問,還有一個 mcp/message 的處理。我們只需要對 sse 的請求進行驗證即可。
  • /sse 請求路徑,需要會提取 apikey 與 nginx 配置的值進行對比,如果不正確則會返回一個 403 禁止訪問,通過則放行。
  • 之后重寫 url 地址,讓轉發到本身 mcp 的地址是干凈的。從 http://127.0.0.1:9999/sse?apikey=DElk89iu8Ehhnbu 驗證轉發后為 http://192.168.1.108:8101/sse

2.3 功能驗證

首先,要確保你的 mcp 服務是可以使用的。如,訪問;http://192.168.1.108:8101/sse 可以獲得到結果。

圖片圖片

- 如圖,驗證成功。我們可以通過轉發的方式進行驗證和使用。 - 另外,有了轉發和驗證,你原本的服務,sse 8101 就不用對外了。只有你的網關(nginx)可以訪問即可。這樣就可以控制權限了。

2.4 動態驗證

那么,目前我們配置的nginx 轉發這不是一個固定的權限賬號嗎,怎么讓不同的接入方都申請一個秘鑰key來使用呢?這里我們需要使用到 nginx 的 auth 認證模塊。

# 可以負載服務
upstream backend_servers {
    server 192.168.1.108:8101;
}

server {
    listen 80;

    server_name 192.168.1.104;  # 修改為你的實際服務器 IP 或域名【域名需要備案】

    location /sse {
        auth_request /auth;

        # 重寫URL,去掉apikey參數
        rewrite ^(/sse/)\?apikey=.* $1break;

        proxy_pass http://backend_servers;  # 將請求代理到上游服務器組
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        chunked_transfer_encoding off;
        proxy_buffering off;
        proxy_cache off;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /mcp/message {
        proxy_pass http://backend_servers;  # 將請求代理到上游服務器組
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

     location = /auth {
        # 發送子請求到HTTP服務,驗證客戶端的憑據,返回響應碼
        internal;
        # 設置參數
        set $query '';
        if ($request_uri ~* "[^\?]+\?(.*)$") {
            set $query $1;
        }
        # 驗證成功,返回200 OK
        proxy_pass http://207.246.123.*:8090/auth/token?$query;
        # 發送原始請求
        proxy_pass_request_body off;
        # 清空 Content-Type
        proxy_set_header Content-Type "";
     }  

}
  • 在訪問 /sse 的時候,增加 auth 認證,auth 來訪問本地一個 http 接口。你可以是 SpringBoot 實現的接口。這個接口負責驗證你的秘鑰是否正確。同時你的 SpringBoot 服務還可以提供出一個創建秘鑰的平臺,讓接入方使用。
  • 其實類似這樣的場景,使用功能更加豐富的 api 網關都是自帶的,或者 github 一些專門為 mcp 做網關服務的也都有。
責任編輯:武曉燕 來源: bugstack蟲洞棧
MCP服務OAuth2
相關推薦

2020-05-29 10:12:49

服務器

2018-05-28 22:06:37

阿里云自研安全

2020-06-11 17:48:58

蘋果Mac芯片

2023-06-29 11:06:46

vivoID服務器

2025-03-13 03:00:00

DockerAgentic工具

2022-11-23 18:39:06

智能質檢

2015-10-13 18:20:49

互聯網

2019-08-01 17:37:24

2009-03-17 15:10:50

2022-05-17 17:18:40

Kite字節跳動微服務框架

2017-07-14 15:12:27

核心引擎架構

2023-08-09 20:43:32

2020-04-16 11:36:59

PixelGoogle芯片

2022-09-06 09:51:36

芯片特斯拉

2024-03-05 18:36:21

轉換引擎用戶體驗

2012-02-17 13:39:03

CornerstoneAndroid平板

2011-05-16 09:58:40

Labelbox

2021-08-27 11:06:03

開源自建Trace阿里云

2013-11-01 09:15:21

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 日韩视频一区在线观看 | 久久一区二区精品 | 美国黄色一级片 | 国产区精品在线观看 | 国产成人精品一区二区三区网站观看 | 欧美成人a | 在线观看成人 | 99精品国产一区二区青青牛奶 | 天天碰日日操 | 精品国产一区二区在线 | 久久久精 | 亚洲国产成人精品女人久久久 | 国产精品国产馆在线真实露脸 | 亚洲成人免费视频 | 国产精品一区二区三区四区五区 | 国产三区精品 | 亚洲精品中文字幕 | 欧美一区中文字幕 | 国产一区亚洲 | 成人小视频在线 | 欧美一区二区在线播放 | 亚洲性视频| av在线一区二区三区 | 91视频大全| 欧美成人a| 欧美日韩a | 九九精品在线 | 国产视频精品在线 | 亚洲日本一区二区三区四区 | 黄网站在线播放 | 天天干天天爽 | 在线中文字幕av | www.国产.com | 8x国产精品视频一区二区 | 久热爱| 爱爱爱av | 欧美一区二区大片 | wwwxxx国产| 一区二区三区在线看 | 在线观看国产视频 | 日韩在线不卡视频 |