Pollinations项目实现GitHub双因素认证的SSE MCP服务器方案

背景与需求分析

在分布式系统架构中，身份认证机制的设计至关重要。Pollinations项目作为一个多服务协作平台，需要一个统一、安全且灵活的身份认证解决方案。传统单一认证方式往往难以同时满足用户体验和安全性的双重需求，因此需要设计一个支持多种认证方式的统一认证系统。

系统架构设计

该认证系统基于GitHub作为身份提供者(IDP)，采用Server-Sent Events(SSE)技术实现Model Context Protocol(MCP)服务器，提供双重认证机制：

1. 基于来源域名的认证：适用于Web前端应用，通过验证HTTP Referer头实现自动认证
2. 基于令牌的认证：适用于API调用和跨域访问，使用个人访问令牌进行身份验证

系统架构采用"瘦代理"设计理念，将认证逻辑集中到me.pollinations.ai子域名下，既保证了功能的集中管理，又避免了跨域问题。

核心组件实现

GitHub OAuth集成

系统实现了标准的OAuth 2.0授权码流程：

• 提供/github/login端点启动OAuth流程
• /github/callback端点处理GitHub回调
• /github/status端点检查认证状态

令牌存储机制

采用JSON格式存储用户认证信息，数据结构设计如下：

{
  "users": {
    "github:12345678": {
      "github_token": "加密存储的GitHub令牌",
      "pollinations_token": "平台生成的访问令牌",
      "created_at": "时间戳",
      "last_used": "时间戳",
      "referrers": ["允许的域名列表"]
    }
  }
}

SSE MCP服务器集成

认证系统与MCP服务器深度集成，提供以下核心功能：

• 认证状态检查(isAuthenticated)
• 认证URL生成(getAuthUrl)
• 令牌管理(getToken)
• 来源域名管理(listReferrers/addReferrer/removeReferrer)

安全设计考量

系统在安全方面做了多重保障：

1. 令牌安全：

   • GitHub令牌仅存储在服务端
   • Pollinations令牌采用高强度生成算法
   • 支持令牌撤销和重新生成

2. 来源验证：

   • 严格验证HTTP Referer头
   • 提供CSRF防护机制
   • 实现请求频率限制

3. 数据保护：

   • 敏感信息加密存储
   • 最小权限原则设计API访问

技术优势与创新点

该方案具有以下技术优势：

1. 统一认证入口：通过me.pollinations.ai子域集中管理所有认证逻辑
2. 协议创新：将SSE技术应用于MCP协议实现，降低系统复杂度
3. 性能优化：避免了传统方案中的跨域请求开销
4. 灵活扩展：架构设计支持未来功能扩展，如用户子域名管理

实施建议与最佳实践

对于希望采用类似方案的开发者，建议：

1. 分阶段实施：先实现核心认证流程，再逐步添加高级功能
2. 监控与日志：详细记录认证事件，便于安全审计
3. 定期轮换：实施令牌自动过期和强制更新策略
4. 防御性编程：对所有输入参数进行严格验证

总结

Pollinations项目的这一认证方案展示了现代Web应用中身份认证系统的最佳实践。通过结合GitHub OAuth和SSE技术，实现了既安全又用户友好的认证体验。其双因素认证设计满足了不同场景下的需求，而集中式的架构则大大降低了系统复杂度和维护成本。这种设计思路对于构建需要集成多种第三方服务的分布式系统具有很好的参考价值。