spring-ai 学习系列(7)-MCP 安全认证

继续先前的MCP学习，实际企业级应用中，很多信息都是涉及商业敏感数据，需要考虑安全认证，不可能让MCP Server在网上裸奔。spring web开发中，提供了拦截器功能，最简单的思路，在Client连接到Server的sse时，拦截请求，检测http header头中，是否有必要的token信息（包括验证token是否合法）

这次，我们使用spring web mvc来创建mcp server.

一、调整pom.xml

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.ai</groupId>
                <artifactId>spring-ai-bom</artifactId>
                <!--目前只有snapshot版本的mcp webmvc功能正常-->
                <version>1.1.0-SNAPSHOT</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <dependencies>
        <dependency>
            <groupId>org.springframework.ai</groupId>
            <artifactId>spring-ai-starter-mcp-server-webmvc</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

    <repositories>
        <repository>
            <id>spring-milestones</id>
            <name>Spring Milestones</name>
            <url>https://repo.spring.io/milestone</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
        <repository>
            <id>spring-snapshots</id>
            <name>Spring Snapshots</name>
            <url>https://repo.spring.io/snapshot</url>
            <releases>
                <enabled>false</enabled>
            </releases>
        </repository>
        <repository>
            <id>central-portal-snapshots</id>
            <name>Central Portal Snapshots</name>
            <url>https://central.sonatype.com/repository/maven-snapshots/</url>
            <releases>
                <enabled>false</enabled>
            </releases>
            <snapshots>
                <enabled>true</enabled>
            </snapshots>
        </repository>
    </repositories>

注：目前只有SNAPSHOT的spring-ai-starter-mcp-server-webmvc能运行正常。

二、添加1个拦截器

@Component
public class Interceptor implements HandlerInterceptor {

    @Override
   public  boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorization = request.getHeader("Authorization");
        if (authorization == null || !authorization.startsWith("Bearer ")) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }
        //模拟几个账号123456，234567，允许访问，其它拒绝
        String token = authorization.substring(7);
        if ("123456".equals(token) || "234567".equals(token)) {
            return true;
        }
       response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        return false;
    }
}

三、注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private Interceptor interceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(interceptor)
                .addPathPatterns("/sse","/mcp/messages");
    }
}

 启动后，再访问http://localhost:8080/sse，会得到1个401的错误码

 在CherryStudio中设置时，必须添加正确的请求头，才能保存成功

有了正确的请求头，就能正常调用MCP Server了

tips: 实际企业级应用中，涉及敏感信息的系统，往往会要求用户先登录认证，登录成功后将token放到cookie里，后续请求MCP时，将该token在上下文中放到http header里即可。

参考：

Transports - Model Context Protocol

spring-ai-examples/model-context-protocol/weather/starter-webmvc-server at main · spring-projects/spring-ai-examples