Odoo MCP Server

# FastMCP JWT 认证 - 功能需求文档 ## 1. 概述 FastMCP服务器认证升级需求，旨在从简单的API密钥认证向更安全的JWT Bearer Token认证机制升级，同时保持向后兼容性。 ## 2. 业务背景 FastMCP官方推荐使用JWT Bearer Token作为标准认证方式，以提高系统安全性和灵活性。而现有系统仅实现了简单的API密钥认证，缺乏JWT解析和验证能力，无法满足高安全性场景的需求。 ## 3. 功能需求 ### 3.1 核心需求 1. **双模式认证支持** - 支持API密钥认证（向后兼容） - 支持JWT Bearer Token认证（新增） - 提供可配置的认证方式切换 2. **JWT认证能力** - JWT令牌解析与格式验证 - 签名验证（支持RSA公钥） - JWKS URI支持（动态获取验证密钥） - 令牌过期检查 - 发行者(Issuer)验证 - 受众(Audience)验证 3. **安全增强** - IP地址白名单过滤 - 认证事件日志记录 - 失败安全原则实现（Fail-closed） ### 3.2 配置需求 1. **MCPServer模型扩展** - 认证方式选择字段 - JWT公钥配置 - JWKS URI配置 - JWT发行者配置 - JWT受众配置 - JWT算法选择 2. **系统兼容性** - 维持现有API密钥认证行为不变 - 无需数据迁移即可平滑切换认证方式 - 支持同时存在不同认证方式的多个服务器实例 ## 4. 非功能需求 1. **性能需求** - JWT验证操作应在100ms内完成 - 支持异步验证流程 2. **安全需求** - 支持RSA256等非对称加密算法 - 禁止使用不安全的算法（如HS256） - 实现完整的JWT标准验证流程 3. **可维护性需求** - 清晰的代码结构和文档 - 完整的单元测试覆盖 - 详细的用户配置指南 4. **兼容性需求** - 向下兼容现有API客户端 - 兼容OAuth 2.0和OpenID Connect标准 ## 5. 交付成果 1. 支持JWT认证的FastMCP服务扩展 2. MCPServer模型JWT配置字段扩展 3. 认证相关单元测试 4. 用户配置文档与使用指南 ## 6. 验收标准 1. API密钥认证与JWT认证均可成功通过验证 2. JWT令牌的所有验证环节（签名、过期、发行者、受众）均能正确执行 3. 无效或过期的JWT令牌能被正确拒绝 4. 配置不同认证方式的服务器可并存且互不影响 5. 全部单元测试通过