MCP 访问配置

MCPCAN 平台为需要进行访问控制的 MCP 服务提供了强大而灵活的认证配置功能。您可以集中管理访问令牌（Token），并精细化控制认证信息如何与后端 MCP 服务交互。

1. 核心概念：透传（Pass-through）

“透传”是 MCPCAN 网关的一个核心概念，它决定了客户端的认证信息在通过网关后是否继续传递给最终的目标 MCP 服务。

• 关闭透传：当关闭透传时，认证令牌（Token）仅用于网关层的身份验证。网关在校验通过后，会移除该认证信息，然后将请求发往后端服务。这种模式下，后端服务是无感知的，所有安全校验由网关全权负责。

• 开启透传：当开启透传时，网关在完成自身校验后，会保留原始的认证信息（如 Authorization 请求头），并将其原封不动地传递给后端 MCP 服务。这对于后端服务本身也需要进行身份验证的场景至关重要。

2. 配置步骤

步骤 1：启用令牌认证

在配置页面的顶部，有一个全局开关，用于启用或禁用整个 MCP 服务的令牌认证功能。

（图 1：主配置界面）

• ON：开启状态。所有访问此 MCP 服务的请求都必须携带有效的令牌。
• OFF：关闭状态。服务将允许匿名访问。

步骤 2：添加认证令牌

点击 + Add 按钮，可以添加一个新的认证令牌。

（图 2：添加基础认证信息）

• Lifespan：设置令牌的有效期，可以是 7 天、15 天、30 天或永久有效。
• API 认证凭证：选择您的认证方案，并填入对应的令牌值。
  • 类型：支持 Bearer、Api-Key、X-API-key 和 Basic 等常用认证类型。
  • 值：粘贴您的实际令牌字符串。

步骤 3：配置自定义 HTTP 请求头（高级功能）

除了核心的认证令牌，您还可以定义额外的 HTTP 请求头，并为每一个请求头独立设置是否透传。

（图 3：添加自定义请求头并设置透传）

• 添加请求头：输入您需要的请求头名称和值。
• 设置透传：每个自定义请求头旁边都有一个独立的“透传/不透传”开关。

关键说明： 当一个自定义请求头被设置为透传时，MCPCAN 网关会自动将这个请求头注入到发往后端 MCP 服务的请求中。这意味着客户端在发起请求时，无需也无法感知到这些额外请求头的存在。此功能非常适合用于注入固定的 API Key 或其他服务端需要的标识，而无需暴露给最终用户。

3. 客户端如何使用

完成配置后，平台会生成一份标准的 mcpServers JSON 配置，客户端只需复制使用即可。

{
  "mcpServers": {
    "mcp-0630c7e5": {
      "url": "https://mcp-dev.itqm.com/mcp-gateway/0630c7e5-1661-4066-8cc0-a1b59b2d1mcp",
      "headers": {
        "Authorization": "Bearer NmMyMTczNmEtNmI5Ni00NjdkLWIxZDUtYmU5OTMvMDVjNmFhZXljLjgxYmRh..."
      }
    }
  }
}

客户端注意事项：

• 客户端只需关心并提供在“API 认证凭证”中配置的主令牌（如 Authorization）。
• 任何在平台侧被配置为“透传”的自定义 HTTP 请求头，都由网关自动处理，客户端无需关心或填写。