Java MCP 的鉴权深度解析

更新时间：2025年08月21日 08:48:21 作者：带刺的坐椅

文章介绍Java MCP鉴权的实现方式,指出客户端可通过queryString、header或env传递鉴权信息,服务器端支持工具单独鉴权、过滤器集中鉴权及启动时鉴权,使用solon-ai-mcp等工具可简化流程,整体配置较为便捷,感兴趣的朋友跟随小编一起看看吧

MCP (Model Context Protocol) 旨在为大语言模型（LLM）与外部数据源、工具和服务提供标准化、安全的集成方式（相当于一种专用的 RPC 协议）。广泛应用于 AI 开发中的工具服务(Tool)、提示语服务(Prompt)和资源服务(Resource)。在实际应用中，确保 MCP 服务的安全性至关重要，因此需要合理的鉴权机制。

一、MCP Client 侧（负责传递，比较简单）

在客户端，一般是使用 queryString 或者 header 或者 env（stdio 方式用）传递鉴权信息，比如变量：token（名字随便取）

（1）常见的 mcpServers json 配置方式

不同服务平台，mcpServers json 的配置格式可能会略有不同。具体需要按服务平台要求配置。

使用 queryString 传递（http 类传输方式）

{
    "mcpServers": {
        "demo": {
            "type":"sse"
            "url": "https://localhost:8080/mcp?token=xxxx"
        }
    }
}

使用 header 传递（http 类传输方式）

{
    "mcpServers": {
        "demo": {
            "type":"streamable",
            "url": "https://localhost:8080/mcp",
            "headers": {"token":"xxx"}
        }
    }
}

使用 env 传递（stdio 传输方式）

{
    "mcpServers": {
        "demo": {
            "type":"stdio",
            "command":"java",
            "args": ["-jar", "/data/demo/target/demo-mcp-stdio.jar"]
            "env": {"token": "xxx"}
        }
    }
}

（2）使用 solon-ai-mcp 作为客户端

solon-ai-mcp 是比较简洁的 mcp java client 框架。它的体验与 mcpServers json 配置相差不大。

使用 queryString 传递（http 类传输方式）

import org.noear.solon.ai.mcp.client.McpClientProvider;
McpClientProvider mcpClient =  McpClientProvider.builder()
                .channel(McpChannel.SSE) //表示使用 sse 传输方式
                .apiUrl("https://localhost:8080/mcp?token=xxxx")
                .build();
//mcpClient.getTools();

使用 header 传递（http 类传输方式）

import org.noear.solon.ai.mcp.client.McpClientProvider;
McpClientProvider mcpClient =  McpClientProvider.builder()
                .channel(McpChannel.STREAMABLE) //表示使用 streamable 传输方式
                .apiUrl("https://localhost:8080/mcp")
                .headerSet("token", "xxxx")
                .build(); 
//mcpClient.getTools();

使用 env 传递（stdio 传输方式）

import org.noear.solon.ai.mcp.client.McpClientProvider;
McpClientProvider mcpClient = McpClientProvider.builder()
                .channel(McpChannel.STDIO) //表示使用 stdio 传输方式
                .serverParameters(McpServerParameters.builder("java")
                        .args("-jar", "/data/demo/target/demo-mcp-stdio.jar")
                        .addEnvVar("token","xxx")
                        .build())
                .build();
//mcpClient.getTools();

与 chatModel 结合使用示例：

import org.noear.solon.ai.chat.ChatModel;
import org.noear.solon.ai.chat.ChatResponse;
ChatModel chatModel = ChatModel.of(apiUrl).provider(provider).model(model)
                .defaultToolsAdd(mcpClient) //重点是这一行
                .build();
ChatResponse resp = chatModel
        .prompt("今天杭州的天气情况？")
        .call();

二、MCP Server 侧（也好简单的）

（1）方式1：每个工具各自鉴权（适合 `stdio`，`sse`，`streamable` 三种传输方式）

在 solon-ai-mcp 里，可以使用 @Header 注解，获取 mcp 连接的元信息（比如 queryString、header、env）

import org.noear.solon.ai.annotation.ToolMapping;
import org.noear.solon.ai.mcp.McpChannel;
import org.noear.solon.ai.mcp.server.annotation.McpServerEndpoint;
import org.noear.solon.annotation.Header;
import org.noear.solon.annotation.Param;
@McpServerEndpoint(channel = McpChannel.STREAMABLE, mcpEndpoint = "/mcp")
public class McpServerTool {
    @ToolMapping(description = "你好世界")
    public String hello(@Param(name="name", description = "名字") String name, @Header("token") String token) {
        if(token == null) {
            throw new IllegalArgumentException("你没有权限哦!");
        }
        return "你好，" + name;
    }
}

（2）方式2：为 http 传输的所有工具集中鉴权（适合 `sse`，`streamable` http类的传输方式）

solon-ai-mcp 也可以通过过滤器（Filter），实现单点鉴权。

@Managed
public class McpServerTool implements Filter {
    @Override
    public void doFilter(Context ctx, FilterChain chain) throws Throwable {
        if (ctx.pathNew().equals("/mcp")) {
            String token = ctx.header("token"); //支持从 header 取
            if (token == null) {
                token = ctx.param("token"); //支持从 queryString 取
            }
            if (token == null) {
                ctx.status(401, "你没有权限哦!");
                return;
            }
        }
        chain.doFilter(ctx);
    }
}

（3）方式3：程序启动时鉴权（适合 `stdio` 传输方式）

@SolonMain
public class McpApp {
    public static void main(String[] args) {
        String token = System.getenv("token");
        if (Utils.isEmpty(token)) {
            throw new RuntimeException("你没有权限哦");
        }
        Solon.start(McpApp.class, args);
    }
}

到此这篇关于Java MCP 的鉴权？好简单的啦的文章就介绍到这了,更多相关Java MCP 鉴权内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

SpringBoot中通过实现WebMvcConfigurer参数校验的方法示例
这篇文章主要介绍了SpringBoot中通过实现WebMvcConfigurer参数校验的方法示例，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-11-11
MyBatis接口绑定SQL的四种高效方法
MyBatis作为Java世界中流行的持久层框架,以其强大的映射能力和灵活的SQL管理而著称,在MyBatis中,接口与SQL语句的绑定是实现数据操作的关键步骤,本文将为你揭示四种将MyBatis接口与SQL语句绑定的方法,需要的朋友可以参考下
2025-09-09
SpringMVC 拦截器不拦截静态资源的三种处理方式方法
本篇文章主要介绍了SpringMVC 拦截器不拦截静态资源的三种处理方式方法，详细的介绍了三种方法，有兴趣的可以了解一下。
2017-01-01
手把手带你了解Java-Stream流方法学习及总结
这篇文章主要介绍了通过实例了解JavaStream流的方法学习和总结,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2021-08-08
SpringBoot整合token实现登录认证的示例代码
本文主要介绍了SpringBoot整合token实现登录认证的示例代码，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2022-07-07
spring boot 3.3.0和mybatis plus 3.5.6版本冲突
这篇文章主要介绍了spring boot 3.3.0和mybatis plus 3.5.6版本冲突的问题解决,文中介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2024-07-07
Java中对象和 json 互转四种方式 json-lib、Gson、FastJson、Jackson
这篇文章主要介绍了Java中对象和 json 互转四种方式 json-lib、Gson、FastJson、Jackson,需要的朋友可以参考下
2023-11-11
SpringBoot使用命令行参数方式
Spring Boot允许通过命令行参数灵活配置和部署项目,在main方法中传入参数并通过SpringApplication.run()加载配置,如果需要关闭命令行配置,可以设置addCommandLineProperties为false
2025-12-12
Caffeine本地缓存核心原理与使用方法详解(含与Spring Cache集成)
本文介绍Caffeine作为高性能本地缓存库,具备智能淘汰策略和并发优化,集成SpringCache实现缓存管理,探讨缓存穿透、击穿、雪崩防护及多级缓存（Caffeine+Redis）方案,适用于Java生态的缓存实践,感兴趣的朋友跟随小编一起看看吧
2025-09-09
Java生成验证码
本文介绍了Java生成验证码的流程与方法。具有很好的参考价值，下面跟着小编一起来看下吧
2017-02-02