ModelContextProtocol Inspector 中 Streamable HTTP 授权头缺失问题解析

在 ModelContextProtocol Inspector 项目中，开发人员发现了一个关于 Streamable HTTP 传输类型的重要问题。当用户切换到 Streamable HTTP 传输类型并使用认证部分指定授权头和承载令牌时，这些认证信息实际上并未被正确应用。

该问题表现为：当连接到需要授权头和承载令牌的 MCP 服务器时，连接会失败并返回 401 错误，提示缺少授权头。从日志中可以清楚地看到，虽然连接已建立，但服务器拒绝了请求，因为它没有收到预期的认证信息。

这个问题的根源在于 StreamableHTTPClientTransport 类的实现中，认证头没有被正确添加到 HTTP 请求中。根据 ModelContextProtocol 规范，服务器期望在请求中包含符合标准的授权头，但当前的实现未能满足这一要求。

从技术角度来看，这种认证头缺失问题在 HTTP 客户端实现中比较常见，通常是由于请求构建过程中认证信息未被正确注入导致的。在实现 HTTP 客户端时，特别是在处理流式传输时，开发者需要特别注意确保所有必要的头信息都被包含在请求中。

该问题已被标记为 bug 并得到修复。修复方案涉及确保在 Streamable HTTP 传输实现中正确处理和添加认证头信息。对于依赖此功能的开发者来说，及时更新到包含修复的版本非常重要，以确保与需要认证的 MCP 服务器的正常交互。

这个问题提醒我们，在实现协议规范时，必须严格遵循规范要求，特别是在安全相关的功能如认证方面。任何小的疏忽都可能导致整个功能无法正常工作，甚至带来安全隐患。