Mastra项目连接MCP服务时的授权头缺失问题解析

问题背景

在使用Mastra项目与Home Assistant实例及MCP服务器建立连接时，开发者遇到了一个典型的授权问题。虽然通过Postman和curl工具能够成功连接，但在Mastra项目中却始终收到401未授权错误。经过排查发现，请求中缺少了必要的Authorization头部信息。

技术分析

这个问题本质上源于Mastra项目中MCP配置层面对EventSource连接的处理方式。在标准HTTP请求中，我们可以通过requestInit配置轻松添加自定义头部，但对于SSE(Server-Sent Events)连接，情况有所不同。

核心问题点

1. EventSource的特殊性：SSE连接使用EventSource API，它不支持像普通fetch请求那样直接通过配置对象添加自定义头部
2. 配置传递断层：MCPConfiguration中的requestInit配置未能正确传递到底层的EventSource实现
3. 双重认证需求：SSE连接建立时可能需要独立的认证机制

解决方案

经过深入研究和社区讨论，我们找到了一个有效的解决方案，需要同时配置两个层面的认证信息：

const mcp = new MCPConfiguration({
  servers: {
    homeAssistant: {
      url: new URL("http://192.168.1.2:8123/mcp_server/sse"),
      requestInit: {
        headers: {
          Authorization: "Bearer TOKEN",
        },
      },
      eventSourceInit: {
        fetch(input: Request | URL | string, init?: RequestInit) {
          const headers = new Headers(init?.headers || {})
          headers.set('Authorization', 'Bearer TOKEN')
          return fetch(input, {
            ...init,
            headers,
          })
        },
      },
    },
  },
});

方案解析

1. 保留基础配置：仍然保留requestInit中的headers配置，确保普通HTTP请求能正常工作
2. 自定义fetch实现：通过eventSourceInit提供一个自定义的fetch方法，强制添加Authorization头部
3. 双重保障机制：这种方式确保了无论是SSE连接建立还是后续请求都能携带正确的认证信息

最佳实践建议

1. 统一认证管理：建议将token提取为变量，避免在多处重复定义
2. 错误处理增强：为SSE连接添加更详细的错误处理逻辑
3. 连接监控：实现连接状态监控机制，及时发现认证问题
4. 文档记录：在项目中明确记录这种特殊配置方式，方便团队其他成员理解

技术原理延伸

这个问题揭示了Web技术中不同API对头部信息处理方式的差异。EventSource作为HTML5标准的一部分，出于安全考虑，最初设计时就不允许修改某些敏感头部。现代应用中，我们常常需要绕过这些限制来实现业务需求，这种自定义fetch的方式就是一种典型的解决方案。

对于需要与MCP服务器建立SSE连接的开发者来说，理解这种底层机制非常重要。它不仅适用于Mastra项目，也是处理任何需要自定义头部的SSE连接的通用模式。

总结

Mastra项目中MCP连接授权问题的解决，展示了现代Web开发中API整合的复杂性。通过深入理解底层技术原理，我们能够找到既符合安全规范又能满足业务需求的解决方案。这种技术探索过程本身也是对开发者技术深度和解决问题能力的很好锻炼。