老程序员博客

编程生涯的最后一舞

当前位置:首页 > 随笔 > 正文内容

Spring AI MCP 安全机制详解

访客 随笔 2026年6月20日 1

Spring AI MCP的安全模块为模型上下文协议提供了OAuth 2.0和API密钥认证的支持,确保了MCP服务端与客户端之间的安全交互。此开源项目帮助开发者通过标准的认证和授权机制保护MCP环境。

核心组件

  • 服务端安全:支持OAuth 2.0资源服务器和API密钥认证。
  • 客户端安全:提供OAuth 2.0客户端支持。
  • 授权服务器:增强型Spring授权服务器,特别针对MCP功能进行了优化。

依赖配置

在项目的pom.xml中添加以下依赖:

<dependencies>
    <dependency>
        <groupId>org.springaicommunity</groupId>
        <artifactId>mcp-server-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
    </dependency>
</dependencies>

OAuth 2.0 配置示例

配置OAuth 2.0资源服务器:

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Value("${security.oauth2.resource.jwt.issuer-uri}")
    private String issuerUri;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http
                .authorizeRequests(authorize -> authorize.anyRequest().authenticated())
                .oauth2ResourceServer(oauth2 -> oauth2.jwt(jwt -> jwt.decoder(JwtDecoders.fromIssuerLocation(issuerUri))))
                .build();
    }
}

API Key 认证

使用API密钥进行认证时,可以自定义ApiKeyEntityRepository接口的实现。例如:

@Configuration
public class ApiKeySecurityConfig {

    @Bean
    public SecurityFilterChain apiKeySecurityFilterChain(HttpSecurity http) throws Exception {
        return http
                .authorizeRequests(authz -> authz.anyRequest().authenticated())
                .addFilterBefore(new ApiKeyAuthFilter(apiKeyRepo()), UsernamePasswordAuthenticationFilter.class)
                .build();
    }

    private ApiKeyEntityRepository apiKeyRepo() {
        return new InMemoryApiKeyEntityRepository(List.of(
            new ApiKeyEntity("test-key", "api-key-1", "test-api")
        ));
    }
}

客户端安全

客户端安全模块支持OAuth 2.0,适用于HttpClient和WebClient类型的客户端。以下是基于HttpClient的配置示例:

@Configuration
public class ClientSecurityConfig {

    @Bean
    public McpSyncClientCustomizer clientCustomizer() {
        return (name, spec) -> spec.transportContextProvider(new AuthTransportContextProvider());
    }

    @Bean
    public McpSyncHttpClientRequestCustomizer requestCustomizer(OAuth2AuthorizedClientManager manager) {
        return new OAuth2AuthorizationCodeHttpRequestCustomizer(manager, "authserver");
    }
}

对于WebClient,可以这样配置:

@Bean
public WebClient.Builder webClientBuilder(OAuth2AuthorizedClientManager manager) {
    return WebClient.builder().filter(new OAuth2AuthorizationCodeExchangeFilterFunction(manager, "authserver"));
}
标签: Spring AIMCPOAuth 2.0API KeySecurity
返回列表

上一篇:深入解析React高阶组件:核心原理与工程实践

下一篇:深入解析C语言指针:从数据操作到代码执行的跃迁

相关文章

可以按小时收费的VPS

很多 VPS 提供商都支持 按小时计费(hourly billing),想短期试用 / 临时搭建节点、测试网络、短期项目等场景非常合适。下面是当前最主流且靠谱的按小时 VPS 选项,分别按不同需求场景整理: 1. Vultr(全球节点,包括日本) 按小时计费 可选机房:东京 / 大阪 / 洛杉矶 / 法兰克福 / 伦敦 … 支持 PayPal(部分情况),但更常用信用卡/PayPal+卡价格参考$...

在 iPhone 上下载国外App

地区/国家限制App Store 会根据 Apple ID 的国家或地区限制应用下载。如果你的 Apple ID 绑定的是中国大陆,就可能无法下载 OpenAI 官方的 ChatGPT 应用,因为它在大陆 App Store 不上架。解决办法:换成美国、加拿大、香港等地区的 Apple ID。或者在现有 Apple ID 上更改地区。注册一个国外 Apple ID(推荐)比如注册 美国区 Appl...

Node.js 中的异步编程:回调与 Promise

Node.js 是一个基于 JavaScript 构建的单线程、非阻塞运行环境,它通过异步编程机制来高效处理多个操作。在执行如文件读取、API 请求或数据库查询等任务时,Node.js 不会等待这些操作完成,而是使用回调函数和 Promise 来避免阻塞主线程。 回调方式实现异步 那么当异步操作完成后,Node.js 如何知道接下来要做什么呢?这就要用到 回调函数(callback)。 回调本质上...

Selenium自动化测试入门指南

Selenium自动化测试入门指南

什么是自动化测试? 自动化测试是指利用软件工具自动执行测试用例,模拟用户操作,如打开网页、点击链接、输入文本等,并验证结果是否符合预期。 其主要优点包括: 大幅减少人工成本 测试速度快 可以在非工作时间运行 支持持续集成和交付 然而,它也存在一些局限性,例如开发成本较高、不适合快速变化的项目、依赖稳定的UI界面等。 自动化测试的应用条件 适合引入自动化测试的情况包括: 手动测试耗时且需要大量...

MariaDB Galera集群故障快速恢复指南

OpenStack控制节点采用三节点MariaDB Galera集群架构。当数据库集群因故障重启时,有时会出现Galera集群无法正常启动的问题。虽然有多种方法可以恢复数据库服务,但如何实现快速启动同时确保数据完整性呢? 通过分析日志发现,MariaDB Galera集群节点宕机时会在日志中输出以下信息: [Note] WSREP: 新集群视图:全局状态: 874d8e7e-5980-11e8-8...

Android 中 EventBus 的通信机制与实现原理深度解析

EventBus 核心设计思想 EventBus 是一个基于观察者模式的事件总线框架,广泛应用于 Android 平台以实现组件解耦。它通过中心化的消息分发机制,使不同层级、不同线程的对象能够以"发布-订阅"方式通信,避免了传统接口回调或广播带来的强依赖问题。 核心角色说明 事件(Event):任意 Java 对象,作为数据载体,如网络状态变更通知、用户登录信息等。 发布者(Publi...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.