MCP服务器开发指南
学习如何构建和部署模型上下文协议(MCP)服务器,将AI模型与外部工具和数据源连接起来。为初学者和高级开发者提供的分步指南。...
2 分钟阅读
AI
Protocol
+4
什么是远程 MCP 服务器?
远程 MCP 服务器通过标准化协议向 AI 代理(尤其是大语言模型 LLM 和代理系统)开放数据、工具与自动化能力。与本地服务器不同,远程 MCP 服务器托管在云端或互联网,任何获授权的 AI 客户端或工作流均可访问。它们充当连接 AI 代理与外部 API、SaaS 平台、开发者工具及企业数据的通用“适配器”。
- 核心价值: 将工具与数据集成从 AI 模型开发中解耦,实现 LLM 与现实世界之间安全、可扩展且广泛的连接。
- 典型用途: 无需为每个工具编写自定义代码即可获取实时数据、调用工具、串联多步自动化。
关键概念与术语
模型上下文协议(MCP)
**模型上下文协议(MCP)**是一项开放协议,标准化了 LLM 和代理型应用与外部工具及数据的交互方式。它为工具/资源发现、能力描述、工具调用以及上下文交换建立了通用契约,实现 AI 客户端与服务器之间的标准协作。
- 核心思想:
- 能力(工具、资源)以机器可读的模式描述
- 标准化的上下文与动作交换
- 多种传输方式:stdio、HTTP、SSE、可流式 HTTP
- 安全、精细的身份认证与授权
本地与远程 MCP 服务器
- 本地 MCP 服务器: 运行在用户本机,通过 stdio 或本地 socket 通信。数据隐私性最高,但需要本地部署与管理。
- 远程 MCP 服务器: 部署在云端或公网服务器,通过 HTTP/SSE 通信。统一管理,任何获授权客户端都可远程访问。
| 功能 | 本地 MCP 服务器 | 远程 MCP 服务器 |
|---|---|---|
| 部署位置 | 用户本机 | 云端/互联网 |
| 通信方式 | stdio、本地 socket | HTTP/SSE/可流式 HTTP |
| 部署方式 | 手动,用户自管 | OAuth 登录,服务商托管 |
| 安全性 | 用户自管密钥/凭证 | OAuth 2.1,服务商强制执行 |
| 应用场景 | 私有、本地开发、敏感数据 | SaaS、多用户、Web 代理 |
| 可扩展性 | 受限于用户硬件 | 云端弹性扩展,多租户 |
MCP 客户端、主机与代理工作流
- MCP 客户端: 连接 MCP 服务器、协调工具调用的软件组件(如聊天机器人界面、自动化平台、LLM 运行时)。
- MCP 主机: 客户端运行的环境(可为 Web 应用、IDE、代理平台等)。
- 代理型工作流: AI 代理自主决策,动态发现并调用 MCP 服务器暴露的工具以完成用户目标。
服务端推送事件(SSE)与 HTTP 协议
- SSE(Server-Sent Events): 基于 HTTP 的协议,实现服务器向客户端的实时流式更新。适用于逐步反馈的 LLM 或工具进度。
- 可流式 HTTP: 一种无状态、现代化的 SSE 替代方案。客户端通过 HTTP POST 与服务器交互,服务器可流式返回响应,提高在现代云基础设施中的兼容性和可靠性。
认证与授权(OAuth 2.1)
- OAuth 2.1: 安全委托访问的行业标准协议。远程 MCP 服务器采用 OAuth 2.1,使用户能够为 AI 代理授予精确且可撤销的权限,无需暴露凭证。
- 要点:
- 不支持遗留的隐式授权流(更安全)
- 强制 PKCE(证明密钥交换)
- 现代化的刷新令牌机制
- 细粒度权限(scope)控制最小权限访问
远程 MCP 服务器架构
远程 MCP 服务器如何工作
- 托管: 部署在云平台(如 Cloudflare Workers、AWS、私有服务器等)。
- 能力暴露: 封装第三方 API、数据库或内部工具,并以标准模式作为 MCP“工具”或“资源”对外开放。
- 连接: 客户端通过 HTTP(S) 连接,使用 OAuth 认证,启动安全会话。
- 通信:
- 客户端通过 HTTP POST 发送标准化请求(如工具调用、反射等)。
- 服务器通过 SSE 或可流式 HTTP 返回并流式传递更新/结果。
- 授权: 用户通过 OAuth 流程授权,按工具、数据或操作设定权限范围。
- 发现与调用: 客户端动态列举可用工具并按需调用,实现灵活的 AI 驱动工作流。
架构图示:
+---------------------+ HTTP/SSE +---------------------+
| AI Agent (Client) | <----------------> | Remote MCP Server |
+---------------------+ +---------------------+
| |
OAuth (AuthN/AuthZ) External Service/API
| |
User grants access (e.g. Jira API, DB)
架构对比:本地 vs. 远程 MCP 服务器
| 功能 | 本地 MCP 服务器 | 远程 MCP 服务器 |
|---|---|---|
| 部署方式 | 手动,本地 | OAuth 网页登录,服务商托管 |
| 通信方式 | stdio、本地 socket | HTTP/SSE、可流式 HTTP |
| 安全性 | 用户密钥/凭证 | OAuth 2.1,短时令牌 |
| 更新维护 | 用户自行负责 | 服务商统一管理、自动补丁 |
| 可扩展性 | 受限于单台机器 | 横向扩展,多用户 |
| 应用场景 | 私有开发、自定义工具 | SaaS、Web 代理、企业级访问 |
传输协议:stdio、HTTP、SSE、可流式 HTTP
- stdio: 用于本地 MCP 服务器(进程间或本地 socket 通信)。
- HTTP/SSE: 客户端发送 HTTP 请求,服务器通过 SSE 流式返回响应/事件。
- 可流式 HTTP: 现代、无状态传输协议,基于 HTTP POST,支持更健壮、云友好的流式通信。
- 可流式 HTTP 优势: 易于扩展,兼容代理,支持分块/流式响应,避免旧版浏览器兼容性问题。
应用场景与示例
LLM 集成与代理工作流
示例: Atlassian 的远程 MCP 服务器将 Jira 和 Confluence 连接到 Claude 或其他 LLM。代理可实现:
- 总结问题或文档内容
- 直接在聊天中创建或更新工作项
- 串联多步工作流(如批量创建任务、提取目标、一次性更新状态)
跨工具自动化
示例: 一位市场营销代理集成了三个不同的 MCP 服务器:
- CMS:起草或更新网页
- 分析:获取流量/转化数据
- SEO:执行审查,提供优化建议
代理可在单一工作流中串联调用所有服务器(“总结昨日博客表现并提出改进建议”)。
SEO、内容与 Web 自动化
示例: 一个远程 MCP 服务器开放 SEO 审查 API。AI 代理可:
- 抓取并解析实时网页
- 检查结构化数据、meta 标签
- 返回可操作的 SEO 报告或建议
企业数据访问与开发运维
示例: DevOps 团队通过内部 MCP 服务器开放 CI/CD 状态、问题跟踪和部署控制。AI 代理可:
- 检查构建/部署状态
- 触发回滚或重启
- 创建事件/工单,汇总日志
加入我们的新闻通讯
免费获取最新提示、趋势和优惠。
主要特性与优势
优势
- 通用协议: 用一套标准连接任意 AI 代理与任意工具/服务。
- 可扩展性: 在云环境下支持多客户端和高并发吞吐。
- 安全性: OAuth 2.1 实现细粒度、可撤销的权限管控。
- 零本地部署: 用户仅需登录并授权即可使用。
- 集中式管理: 企业可统一管控访问权限。
- 快速集成: 工具通过 MCP 模式注册,无需为每个工具编写定制代码。
权衡与局限
| 优势 | 局限 / 权衡 |
|---|---|
| 易于扩展 | 依赖可靠的互联网连接 |
| 无需本地部署 | 延迟高于本地部署 |
| 集中式管理 | 依赖服务商在线时间 |
| OAuth 安全性 | 权限范围管理相对复杂 |
| 多客户端支持 | 数据需在传输过程中加密 |
安全性与授权
OAuth 集成
远程 MCP 服务器采用 OAuth 2.1 实现安全、委托的身份认证/授权:
- 用户授权: AI 客户端发起 OAuth 流程,用户批准所需的权限范围和功能。
- 令牌签发: MCP 服务器签发自身的短时访问令牌,绝不直接暴露上游服务商凭证。
- 精细权限: 代理仅能访问预授权的工具/操作。
最佳实践:
- 禁用隐式授权流(OAuth 2.1 已移除)
- 全流程强制 PKCE
- 安全使用刷新令牌
安全风险:工具投毒与过度代理权限
- 工具投毒: 攻击者可能向工具元数据注入恶意指令,诱导 LLM 泄露数据或执行有害操作。
- 风险缓解:净化所有工具描述,校验输入,仅允许可信来源的工具元数据。
- 过度代理权限: 工具暴露权限过大,AI 代理可能执行未预期或危险操作。
- 风险缓解:使用最小权限范围,定期审查工具暴露情况。
最佳实践
- 仅暴露必要的最小能力
- 对所有工具元数据和用户输入实施严格校验和净化
- 使用短时、由服务器签发的访问令牌
- 审计并记录所有请求与响应
- 定期审查与更新 OAuth 权限范围
