模型上下文协议,简称 MCP,已席卷整个 AI 世界。如果您一直在关注我们的博客,您可能已经阅读了该主题的介绍,将您的 AI 连接到一切:Spring AI 的 MCP Boot Starters。MCP 的安全方面发展迅速,最新版本的规范得到了生态系统越来越多的支持。为了满足 Spring 用户的需求,我们在 Github 上孵化了一个专门的项目:spring-ai-community/mcp-security。本周,我们推出了第一个版本,您现在可以将它们添加到基于 Spring AI 1.1.x 的应用程序中。在本…
上个月,我们探讨了如何使用 OAuth2 授权框架来保护 Spring AI MCP 服务器[1]。在那篇文章的结论中,我们提到将探索使用独立的授权服务器进行 MCP 安全,并偏离当时的规范。
自我们发布这篇文章以来,社区一直非常积极地修订规范的原始版本。新草案更简单,并且主要的变化确实符合我们对安全的设想。MCP 服务器仍然是 OAuth2 资源服务器,这意味着它们使用传递的访问令牌来授权传入请求……
Spring AI 支持模型上下文协议(简称 MCP),它允许 AI 模型以结构化的方式与外部工具和资源进行交互和访问。通过 Spring AI,开发者只需几行代码即可创建自己的 MCP 服务器并向 AI 模型公开功能。
MCP 服务器可以使用 STDIO 传输在本地运行。要将 MCP 服务器暴露给外部世界,它必须暴露一些标准的 HTTP 端点。虽然私下使用的 MCP 服务器可能不需要严格的身份验证,但企业部署需要强大的安全和权限管理以应对暴露的端点。最新版本的 MCP 规范(2025-03-26)已于上周发布,解决了这一挑战。它为客户端和服务器之间安全通信奠定了基础,利用了广泛使用的 OAuth2 框架……
