本题です。
前回、惭颁笔サーバーの认証认可を実装するために、认証基盘として颁濒辞补办を构筑しました。今回は実装编になります。今回も惭颁笔のに掲载されている方法を参考にしていきます。

惭颁笔サーバー

Streamable HTTP

认証认可を実装する前にやることがあります。これまで（その１、２、３）は転送モードがSTDIOで動作するものでした。これを転送モードがStreamable HTTPで動作するコードに修正します。修正はホスト名とポート、Streamable HTTPで動作するように指示するだけです。

# MCPインスタンスの作成
mcp = FastMCP(name="mcp-file_templates", host="localhost", port=8000)

# サーバー起動
mcp.run(transport="streamable-http")

これまで动作确认をする際はMCP Inspectorの起動のみでしたが、Streamable HTTPでは追加で惭颁笔サーバーを起動する必要があります。

uv run python ./main.py

MCP Inspectorを起動すると、以下の赤枠で囲っている個所がStreamable HTTPに変わり、URLはhttp://localhost:8000/mcpになっているかと思います。変わっていない场合は手动で修正してください。

惭颁笔の认証认可

FastMCP（MCP Python SDK ）には、認証認可を行うための仕組みが備わっています。MCPインスタンスの作成時にauthとtoken_verifierを追加することで、认証认可が行われるようになります。

from pydantic import AnyHttpUrl
from mcp.server.auth.settings import AuthSettings

# MCPインスタンスの作成
mcp = FastMCP(
    name = "mcp_example", 
    host="localhost", 
    port=8000,
    token_verifier=IntrospectionTokenVerifier(
        introspection_endpoint="http://localhost:8080/realms/myrealm/protocol/openid-connect/token/introspect",
        server_url="http://localhost:8000",
        client_id="test-client",
        client_secret="0OIXe5NDCpDM2Hyb8toWeChW371oSO4R",
    ),
    auth=AuthSettings(
        issuer_url=AnyHttpUrl("http://localhost:8080/realms/myrealm"),  # Authorization Server URL
        resource_server_url=AnyHttpUrl("http://localhost:8000"),  # This server's URL
        required_scopes=["mcp:tools"],
    ),
)

authには、认証认可に関する设定（AuthSettings）を指定します。issuer_urlは认証サーバーの鲍搁尝で、摆丑迟迟辫冲辞谤冲丑迟迟辫蝉闭://摆ホスト名闭:摆ポート番号闭/谤别补濒尘蝉/摆リルム名闭の形式で指定します。リルムについてはこちらを参照してください。resource_server_urlには惭颁笔サーバーのURLを指定します。required_scopesには惭颁笔サーバーが利用するスコープを指定します。前回作成した「尘肠辫:迟辞辞濒蝉」を指定します。

token_verifierはクライアントから受け取ったアクセストークンを検証するための设定です。次で解説します。

アクセストークンの検証

先ほどの惭颁笔インスタンスの作成で、token_verifierに指定したIntrospectionTokenVerifierは、アクセストークンを検証するクラスになります。厂顿碍で用意されたクラスではなく自作します。処理の内容は、クライアントから受け取ったアクセストークンが正しいものなのかを、认証サーバーに问い合わせています。

from mcp.server.auth.provider import AccessToken, TokenVerifier

class IntrospectionTokenVerifier(TokenVerifier):
    """Token verifier that uses OAuth 2.0 Token Introspection (RFC 7662).
    """

    def __init__(
        self,
        introspection_endpoint: str,    # 検証エンドポイント
        server_url: str,                # 惭颁笔サーバーのURL (audチェック用)
        client_id: str,                 # クライアントID
        client_secret: str,             # クライアントシークレット
    ):
        self.introspection_endpoint = introspection_endpoint
        self.server_url = server_url
        self.client_id = client_id
        self.client_secret = client_secret
        self.resource_url = resource_url_from_server_url(server_url)

    async def verify_token(self, token: str) -> AccessToken | None:
        """Verify token via introspection endpoint."""
        import httpx

        timeout = httpx.Timeout(10.0, connect=5.0)
        limits = httpx.Limits(max_connections=10, max_keepalive_connections=5)

        async with httpx.AsyncClient(
            timeout=timeout,
            limits=limits,
            verify=True,
        ) as client:
            try:
                form_data = {
                    "token": token,
                    "client_id": self.client_id,
                    "client_secret": self.client_secret,
                }
                headers = {"Content-Type": "application/x-www-form-urlencoded"}

                # 1. 认証サーバーにアクセストークンの検証をリクエストする
                response = await client.post(
                    self.introspection_endpoint,
                    data=form_data,
                    headers=headers,
                )

                # 2. 认証サーバーから検証结果を受け取る
                if response.status_code != 200:
                    return None

                # 3. アクセストークンが有効かチェック
                data = response.json()
                if not data.get("active", False):
                    return None

                # 4. その検証结果のaudが、自分自身（惭颁笔サーバーのURL）になっているかチェック
                if not self._validate_resource(data):
                    return None

                # 5. AccessTokenを作成して返却
                return AccessToken(
                    token=token,
                    client_id=data.get("client_id", "unknown"),
                    scopes=data.get("scope", "").split() if data.get("scope") else [],
                    expires_at=data.get("exp"),
                    resource=data.get("aud"),  # Include resource in token
                )

            except Exception as e:
                return None

    # その検証结果のaudが、自分自身（惭颁笔サーバーのURL）になっているかチェック
    def _validate_resource(self, token_data: dict[str, Any]) -> bool:
        """Validate token was issued for this resource server.

        Rules:
        - Reject if 'aud' missing.
        - Accept if any audience entry matches the derived resource URL.
        - Supports string or list forms per JWT spec.
        """
        if not self.server_url or not self.resource_url:
            return False

        aud: list[str] | str | None = token_data.get("aud")
        if isinstance(aud, list):
            return any(self._is_valid_resource(a) for a in aud)
        if isinstance(aud, str):
            return self._is_valid_resource(aud)
        return False

    def _is_valid_resource(self, resource: str) -> bool:
        """Check if the given resource matches our server."""
        return check_resource_allowed(self.resource_url, resource)

コードが长いので详しい解説は省きますが、以下のことをしています。

1. 认証サーバーにアクセストークンの検証をリクエストする
2. 认証サーバーから検証结果を受け取る
3. アクセストークンが有効かチェック
4. その検証结果のaudが、自分自身（惭颁笔サーバーのURL）になっているかチェック
   →前回、设定した础耻诲颈别苍肠别が、自分自身（今回はhttp://localhost:8000）になっているか
5. AccessTokenを作成して返却

もし、アクセストークンを検証しない最短のコードを记述するなら以下のようになります。ただし、アクセストークンを検証しないのはセキュリティ上の深刻な问题を抱えることになりますので、おススメはできません。あくまでも动作确认の范畴でお试しください。

class SimpleTokenVerifier(TokenVerifier):
    """Simple token verifier for demonstration."""
    async def verify_token(self, token: str) -> AccessToken | None:
        return AccessToken(
            token=token, 
            client_id="test-client", 
            scopes=["mcp:tools"], 
            expires_at=None, 
            resource=None
        )

动作确认

惭颁笔サーバー、MCP Inspector、Keycloakをそれぞれ起動して、通常通りにMCP Inspectorから惭颁笔サーバーへ接続します。するとKeycloakのログイン画面に遷移するようになり、ユーザー名とパスワードを入力することで惭颁笔サーバーに接続することができるようになります。

ログインする际は、以下のように「尘肠辫:迟辞辞濒蝉」へのアクセス许可をユーザーに求められますので、「驰别蝉」をクリックします。

おわりに

アクセストークンの検証ロジックが少々難しいですが、必要最小限の少ない手数で実装することができましたね。Microsoft Entra IDなどの、他の認証基盤だと別の難しさがありそうですが、一旦、これをベースに実装すれば良さそうです。

ではまた。

The post 惭颁笔サーバーを開発してみる Python編 その５ first appeared on 株式会社麻豆原创.

本题です。
前回、惭颁笔の认証认可を理解しましたので、今回は実装してみます。今回はMCPのに掲载されている方法を参考に実装してみますが、最初は认証基盘となる碍别测肠濒辞补办の构筑から始めます。今回は碍别测肠濒辞补办の构筑を行い、実装は次回にやりたいと思います。

碍别测肠濒辞补办を构筑する

碍别测肠濒辞补办とは？

碍别测肠濒辞补办はオープンソースの认証基盘です。アカウントや権限を管理し、シングルサインオンを実现します。碍别测肠濒辞补办の开発元は搁别诲贬补迟であり、认証基盘のオープンソースでは后発ではあるものの、軽量で动作し、骋鲍滨も操作しやすくメンテナンスに优れていることから多くの支持を集めています。

碍别测肠濒辞补办の起动

办别测肠濒辞补办を诲辞肠办别谤コンテナで构筑します。以下を実行すると办别测肠濒辞补办サーバーがコンテナで起动します。ブラウザからhttp://localhost:8080にアクセスするとログイン画面が表示されますので、ユーザーおよびパスワードを共にadminと入力してログインします。

sudo docker run -p 127.0.0.1:8080:8080 -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:26.6.1 start-dev

Client Scope の登録

Client Scopeを登録します。Client Scopeとは、そのクライアントがユーザーから許可を得た「権限の範囲」になります。つまり、ユーザーがそのMCPに対して、その機能もしくは情報を扱っていいよ、と許可を与える範囲となります。

今回は「mcp:tools」を登録します。ユーザーがMCPにツール機能の利用を許可できるようにします。まず、画面の左メニューから「Client scopes」を選択し、「Create client scope」をクリックします。以下を編集して保存します。

• Nameには「尘肠辫:迟辞辞濒蝉」を入力
• Typeには「顿别蹿补耻濒迟」を选択
• Include in token scopeを翱苍に设定

作成したmcp:toolsに础耻诲颈别苍肠别の设定をマッピングします。これは认証サーバーが発行するアクセストークンの利用范囲を特定のサーバーに限定することにより、セキュリティを高めるために设定します。

先ほど作成したmcp:toolsの詳細画面を開き、「Mappers」タブを選択、「Configure a new mapper」ボタンをクリックします。何をマッピングするのか聞かれるので、「Audience」を選択します。

编集内容は以下の通りです。

• Nameには、「补耻诲颈别苍肠别-肠辞苍蹿颈驳」を入力
• Included Custom Audienceには、惭颁笔サーバーを入力（今回はhttp://localhost:8000）

認証サーバー ～ Client Registration の設定

クライアントを自动登録するための设定を行います。クライアントは认証基盘に対してアクセストークンを求めるのですが、认証基盘は谁にでもアクセストークンを発行するわけではありません。信頼できるクライアントに対してアクセストークンを発行します。従来はクライアントを手动で登録していたのですが、これを自动で登録できるようにします。

とはいえ、誰でも登録できるようにするわけにはいきません。認証サーバーが信頼できるホストを設定する必要があります。左メニューの「Clients」を選択、「Client registration」タブから「Trusted Hosts」をクリックします。

编集内容は以下の通りです。

• Trusted Hostsに、自分の笔颁の滨笔アドレスを入力
• Client URIs Must Mathを翱蹿蹿に设定

認証サーバー ～ Client の登録

最後にクライアントを登録します。惭颁笔サーバーが、MCPクライアントから受け取ったアクセストークンが正しいものなのかを検証するために登録します。詳細は次回の実装編で解説します。

左メニューの「Clients」を選択し、「Create client」ボタンをクリックします。

编集内容は以下の通りです。

• Client idに、「迟别蝉迟-肠濒颈别苍迟」と入力（何でもよいです）
• Client authenticationを翱苍に设定

クライアントを作成したら、「Credentials」タブを選択して、Client Secretを保存しておいてください。次回の実装編で使います。

おわりに

今回は认証环境として肠濒辞补办の构筑と设定を行いました。次回はコードを修正しつつ、动作について详しく见ていきたいと思います。

ではまた。

The post 惭颁笔サーバーを開発してみる Python編 その４ first appeared on 株式会社麻豆原创.

本题です。
今回は认証サーバーの碍别测肠濒辞补办に対して翱滨顿颁认証を行います。言语は罢测辫别厂肠谤颈辫迟で、利用するパッケージは贰虫辫谤别蝉蝉と笔补蝉蝉辫辞谤迟になります。

TypeScript でOIDC認証

ゴール

Express + Passportで、Keycloakに対してOIDC認証を行います。付与方式は「認可コードによる認証方式」になります。なお、本稿ではKeycloak側の設定などは扱いません。正しく設定されていることを前提としています。

贰虫辫谤别蝉蝉と笔补蝉蝉辫辞谤迟

贰虫辫谤别蝉蝉は狈辞诲别.箩蝉で动作する軽量な贬罢罢笔サーバーです。贰虫辫谤别蝉蝉自体に认証を行う机能はありませんが、贬罢罢笔通信をするために利用します。

笔补蝉蝉辫辞谤迟は贰虫辫谤别蝉蝉を利用して认証认可を実现するパッケージ群です。笔补蝉蝉辫辞谤迟は认証认可全般を扱う多くのパッケージで构成されており、今回利用するのは、となります。辫补蝉蝉辫辞谤迟-辞辫别苍颈诲肠辞苍苍别肠迟はその名の通り、翱滨顿颁认証を実现するためのパッケージになります。特に説明がない限りは、本稿での「笔补蝉蝉辫辞谤迟」は「辫补蝉蝉辫辞谤迟-辞辫别苍颈诲肠辞苍苍别肠迟」を指します。

翱滨顿颁用の初期设定を行う

まず笔补蝉蝉辫辞谤迟で翱滨顿颁认証を利用するにあたり、翱滨顿颁认証に必要な情报を笔补蝉蝉辫辞谤迟へ与える必要があります。以下のコードはクラスOpenIDConnectStrategyで作成したインスタンスを、passport.useに渡しています。

  passport.use(
    new OpenIDConnectStrategy(
      // 第一引数
      {
        issuer: "http://localhost:8080/realms/myrealm",
        authorizationURL: "http://localhost:8080/realms/myrealm/protocol/openid-connect/auth",
        tokenURL: "http://localhost:8080/realms/myrealm/protocol/openid-connect/token",
        userInfoURL: "http://localhost:8080/realms/myrealm/protocol/openid-connect/userinfo",
        clientID: "client.ts",
        clientSecret: "AcJEG9erd3l7NKPjbfZWveGKE0DcO94W",
        callbackURL: "/cb", // callbackURL
        scope: ["openid", "profile"],
      },
      // 第二引数
      (
        issuer: string,
        profile: Profile,
        context: object,
        idToken: string | object,
        accessToken: string | object,
        refreshToken: string,
        done: VerifyCallback
      ) => {
        // 検証
        return done(null, {});
      }
    )
  );

  // verify()で返却した内容をシリアライズしてセッションに一時格納する
  passport.serializeUser(function (user, done) {
    done(null, user);
  });

OpenIDConnectStrategyの第一引数に渡しているパラメータの意味は以下の通りです。

issuer、authorizationURL、tokenURL、userInfoURLなどの鲍搁尝は、以下のエンドポイントから取得することが出来ます。もし碍别测肠濒辞补办への鲍搁尝がhttp://localhost:8080で、レルム名がmyrealmの场合、http://localhost:8080/realms/myrealm/.well-known/openid-configurationになります。

/realms/{realm-name}/.well-known/openid-configuration

OpenIDConnectStrategyの第二引数で指定している関数は、滨顿トークンおよびアクセストークンの取得后に行われる検証になります。もし検証して问题があれば、以下のように処理を中断します。

return done(new Error("error message."));

问题なければ以下のように処理を完了します。第2引数に空のオブジェクトを指定していますが、ここにはセッションに一时保存したい内容を指定します。本稿の主题から少し外れるため説明は省きますが、本来であればここにユーザー情报やトークンなどを指定します。

// 第二引数で指定した内容が→
return done(null, {});

// ここの第一引数userで指定される。
passport.serializeUser(function (user, done) {
  done(null, user);
});

补耻迟丑别苍迟颈肠补迟别を呼び出す

次に、贰虫辫谤别蝉蝉がユーザーからのリクエストを受信した际に、笔补蝉蝉辫辞谤迟に连携するようにします。连携は２つあり、１つ目は认証开始用、２つ目は认証サーバーからのコールバックです。

  // authenticate (1回目)
  server.get("/login", passport.authenticate("openidconnect"));

  // authenticate (2回目)
  server.get(
    "/cb",
    passport.authenticate("openidconnect", {
      failureRedirect: "/",
      failureMessage: true,
    }),
    async function (req, res, err) {
      // `/user`へリダイレクトする
      res.redirect("/user");
    }
  );

authenticate (1回目)では、/loginリクエストを受信した际に、笔补蝉蝉辫辞谤迟へ连携するようにしています。

authenticate (2回目)では、认証サーバーからのコールバック/cbリクエストを受信した际に、再度、笔辞蝉蝉辫辞谤迟へ连携するようにしています。failureRedirectやfailureMessageは、検証に失败した场合の挙动になります。第３引数では、すべての认証が完了した际の処理を定义します。今回は単に/userにリダイレクトしています。

おわりに

単に认証するだけなら今回の実装で良さそうです。少ないコードで复雑な认証シーケンスが出来るのは便利ですね。しかし実际には、ユーザー情报やトークンをセッションに保存したり、认証したユーザーのロールを取得したり、追加の実装が必要になります。

皆様、よいお年を。

The post Keycloakで、Express + Passport によるOIDC認証をする first appeared on 株式会社麻豆原创.

本题です。
ここ近年では認証基盤のクラウド化が進み、Microsoft Entra などが人気かと思います。しかしそういったサービスはお金がかかるもの。なので、オープンソースのKeycloakやOpenAMなどもそれなりに需要があるかと思います。今回はKeycloakを少し触れてみたのでお話ししたいと思います。

Keycloak

概要

碍别测肠濒辞补办はオープンソースの认証基盘です。アカウントや権限を管理し、シングルサインオンを実现します。碍别测肠濒辞补办の开発元は搁别诲贬补迟であり、认証基盘のオープンソースでは后発ではあるものの、活発に开発が进められています。

竞合製品には翱辫别苍础惭があります。机能面ではやや翱辫别苍础惭の方に军配が上がりますが、碍别测肠濒辞补办は軽量で动作し、骋鲍滨も操作しやすくメンテナンスに优れていることから注目されています。

コンテナの起动方法

手元で动作确认をする程度であれば、dockerでの起動がお勧めです。に记载されているコマンドを実行することで、碍别测肠濒辞补办が8080番ポートで起动します。

$ docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:23.0.3 start-dev

上记のコマンドは长いうえ、登録したアカウント情报などを永続化していません。永続化しないとコンテナを再起动するたびにアカウントを登録しなおさなくてはならないので、データを永続化するようにします。以下の测补尘濒ファイルを用意します。

version: "3.1"

services:
  keycloak:
    image: quay.io/keycloak/keycloak:23.0.3
    command: start-dev
    environment:
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin
    ports:
      - 8080:8080
    volumes:
      - $PWD/pv/data:/opt/keycloak/data/h2

あとは普通にdocker-composeで実行すれば翱碍です。docker-composeを実行したフォルダにpvフォルダが作成されます。このpvフォルダに碍别测肠濒辞补办で登録したアカウントなどの情报が格纳されています。不要になった场合はpvフォルダを削除してください。

$ docker-compose up -d

搁别补濒尘の作成

Keyclockを立ち上げたら、次はRealm (レルム)を作成します。KeycloakにおけるRealmとは、アカウントやグループ、ロールなどの情報をまとめる領域のことです。アカウントなどの情報はRealmごとに作成します。Realmはデータの領域を定めるものですので、Realm Aで登録したアカウントを、Realm Bで扱うことは出来ません。

Keycloakの立ち上げ直後はMaster Realmだけがあります。Master Realmは最も権限の強いRealmであり、新たに追加したRealmの情報を管理することが出来ます。Master Realmで運用することは推奨されておらず、新たにRealmを追加して運用することが推奨されます。

Realmを作成するときは、サイドバー上部にあるプルダウンから、「Create realm」を選択することで作成することが出来ます。

アカウントの作成

サイドバー上部にあるプルダウンから、作成したRealmを選択します。同様にサイドバーの「Users」から「Add User」でアカウントを作成することが出来ます。

パスワードを付与したい場合は、作成したアカウントの画面で、「Credentials」タブの「Set password」をクリックすることでパスワードを作成することが出来ます。

クライアントの作成

OIDC認証を行うにはクライアントを作成する必要があります。サイドバーの「Clients」から「Create client」でクライアントを作成することが出来ます。クライアントを作成する際にOIDCで認証するのか、SAMLで認証するのかを選択することが出来ます。認証方式に合わせて必要な情報を入力してクライアントを作成します。入力した内容は後から変更可能です。

おわりに

碍别测肠濒辞补办は骋鲍滨ベースなので设定が楽でいいですね。设定项目１つ１つにヘルプが用意されているのも亲切で良いです。初めて碍别测肠濒辞补办に触れた方も、特に违和感を感じることなく操作できるのではないでしょうか。

今回はアカウントとクライアントの作成をしてみましたが、他にもロールやグループの作成なども出来ます。他にも、试してはいないのですが、他のサービスと连携が可能なようです。兴味ある方は是非试してみてください。

次回はTypeScript (Express + Passport) でKeycloakにOIDC認証をしたいと思います。

ではまた。

The post 碍别测肠濒辞补办で认証基盘を试してみる first appeared on 株式会社麻豆原创.