ModelContextProtocol TypeScript SDK中的OAuth代理令牌交换问题解析

背景介绍

在ModelContextProtocol TypeScript SDK项目中，开发者发现了一个与OAuth 2.0协议实现相关的重要问题。这个问题涉及到OAuth代理在进行令牌交换时的参数传递不完整，导致与某些符合规范的OAuth授权服务器交互时出现失败。

问题本质

根据OAuth 2.0协议规范(RFC 6749)第4.1.3节明确规定，如果在初始授权请求中包含了redirect_uri参数(默认情况下确实包含)，那么在调用令牌端点进行授权码交换时，必须同样包含这个参数。然而，当前SDK的实现中遗漏了这一关键参数。

技术影响

这一实现缺陷会导致与严格遵循规范的OAuth授权服务器(如node-oidc-provider等)交互时，服务器会拒绝令牌交换请求，返回400错误并提示"missing required parameter 'redirect_uri'"。

问题复现

当开发者尝试以下操作时，可以稳定复现该问题：

1. 配置一个符合规范的OAuth 2.0授权服务器代理
2. 使用能够解析OAuth重定向请求的MCP客户端进行连接
3. 观察令牌交换失败并返回400错误

解决方案

该问题的修复相对直接，需要在exchangeAuthorizationCode方法中，将原本授权请求中的redirect_uri参数同样包含在令牌交换请求中。这一修改确保了与OAuth 2.0规范的完全兼容性。

技术细节

在OAuth 2.0授权码流程中，redirect_uri参数扮演着重要角色：

• 初始授权请求中包含redirect_uri
• 授权服务器使用该URI重定向用户代理
• 令牌交换请求中必须验证相同的redirect_uri

这种设计是出于安全考虑，防止授权码被拦截后用于其他URI的令牌获取。

修复意义

这一修复不仅解决了与规范服务器的兼容性问题，更重要的是：

1. 提高了SDK的安全性
2. 确保了与各类OAuth 2.0实现的标准兼容性
3. 为开发者提供了更稳定的认证流程

总结

OAuth 2.0协议中的每个参数都有其特定目的和安全考虑。ModelContextProtocol TypeScript SDK通过这一修复，展现了对协议规范的尊重和对安全性的重视，为开发者提供了更加可靠的身份验证基础设施。