software

构建量子增强API网关:MCP Secure Gateway

发布: (2025年12月12日 GMT+8 21:00)
7 min read
原文: Dev.to

Source: Dev.to

介绍

在 2025 年 API Days Paris 上,模型上下文协议(MCP)、量子增强安全以及 API 可靠性成为焦点。为了探索这些理念在生产环境中的落地,我创建了 MCP Secure Gateway,一个可直接投入生产的 API 网关,展示了:

  • 用于加密安全令牌的量子随机数生成(QRNG)
  • 用于 AI 代理交互的 MCP 实现
  • 企业级身份验证、限流和监控
  • 通过契约测试进行的 API 漂移检测

该网关基于 FastAPI 构建,既是参考实现,也是学习资源。

量子随机数生成

传统的随机数生成器是确定性的;在相同种子下会产生相同的序列,这会成为 JWT ID 等加密操作的漏洞。量子 RNG 利用量子现象(例如真空涨落)生成真正的随机性。

QRNG 提供商

提供商类型访问方式备注
ANU(澳大利亚国立大学)免费、公开HTTP API适合开发和测试;使用分束器中的真空涨落
Quantinuum企业级HTTP API(需要 API 密钥)高吞吐量的商业量子计算平台
ID Quantique硬件式实体设备(需要 API 密钥)银行级安全

QRNG 服务(Python)

# qrng_service.py
import secrets
from enum import Enum
from typing import Any

class QRNGProvider(Enum):
    ANU = "anu"
    QUANTINUUM = "quantinuum"
    IDQ = "idq"

class QRNGService:
    def __init__(self, provider: QRNGProvider):
        self.current_provider = provider

    async def get_random_bytes(self, length: int = 32) -> bytes:
        """Get cryptographically secure random bytes."""
        try:
            if self.current_provider == QRNGProvider.ANU:
                return await self._get_anu_bytes(length)
            elif self.current_provider == QRNGProvider.QUANTINUUM:
                return await self._get_quantinuum_bytes(length)
            elif self.current_provider == QRNGProvider.IDQ:
                return await self._get_idq_bytes(length)
        except Exception as e:
            # Graceful fallback to classical cryptography
            if settings.QRNG_FALLBACK_ENABLED:
                return secrets.token_bytes(length)
            raise

设计说明: 自动回退到 secrets.token_bytes() 能确保即使量子提供商不可用,系统仍能正常运行,安全性会以渐进方式下降,而不是灾难性失效。

使用量子 ID 的 JWT 令牌生成

每个 JWT 都会使用量子随机性生成唯一的 jti(JWT 令牌 ID),使得令牌预测和碰撞攻击的难度呈指数级提升。

# auth.py
import jwt
import time
from datetime import datetime, timedelta

class AuthService:
    def __init__(self, private_key: str, algorithm: str = "RS256"):
        self.private_key = private_key
        self.algorithm = algorithm

    async def create_token(self, user_id: str, token_type: str = "access") -> str:
        # Generate quantum‑backed JWT ID
        jti = await qrng_service.get_random_bytes(16).hex()

        now = datetime.utcnow()
        expire = now + timedelta(hours=1)

        payload = {
            "sub": user_id,
            "jti": jti,
            "exp": expire,
            "iat": now,
            "type": token_type,
        }

        return jwt.encode(payload, self.private_key, algorithm=self.algorithm)

模型上下文协议(MCP)实现

MCP 正在成为 AI 代理通信的标准。网关提供了核心 MCP 模式,用于工具发现和执行。

# mcp_routes.py
from fastapi import APIRouter
from pydantic import BaseModel
from typing import Dict, Any

router = APIRouter()

class MCPToolCall(BaseModel):
    tool: str
    arguments: Dict[str, Any]

class MCPResponse(BaseModel):
    success: bool
    result: Dict[str, Any]

@router.get("/mcp/tools")
async def list_tools():
    """List available MCP tools."""
    return [
        {
            "name": "get_weather",
            "description": "Get current weather for a location",
            "parameters": {
                "type": "object",
                "properties": {"location": {"type": "string"}},
            },
        },
        # ... more tools
    ]

@router.post("/mcp/execute")
async def execute_tool(tool_call: MCPToolCall):
    """Execute an MCP tool."""
    if tool_call.tool == "get_weather":
        return MCPResponse(
            success=True,
            result={
                "location": tool_call.arguments["location"],
                "temperature": 22,
                "condition": "Sunny",
            },
        )
    # Add handling for additional tools here

请求关联 ID 中间件

每个请求都会分配一个关联 ID,以实现端到端追踪。

# middleware.py
import time
from fastapi import Request, FastAPI
import logging

logger = logging.getLogger("gateway")

app = FastAPI()

@app.middleware("http")
async def log_requests(request: Request, call_next):
    correlation_id = request.headers.get(
        "X-Correlation-ID", f"req-{int(time.time() * 1000)}"
    )
    logger.info(
        "request_started",
        extra={"method": request.method, "path": request.url.path, "correlation_id": correlation_id},
    )
    response = await call_next(request)
    response.headers["X-Correlation-ID"] = correlation_id
    return response

健康检查端点

符合 Kubernetes 的存活探针和就绪探针会暴露服务健康和功能状态。

# health.py
from fastapi import APIRouter

router = APIRouter()

@router.get("/health")
async def health_check():
    return {
        "status": "healthy",
        "version": "1.0.0",
        "qrng": qrng_service.get_provider_status(),
        "features": {
            "quantum_auth": True,
            "mcp_streaming": True,
            "rate_limiting": True,
        },
    }

可观测性栈

一个最小化的 Docker Compose 配置提供网关、Redis、Prometheus 和 Grafana。

# docker-compose.yml
services:
  gateway:
    build: .
    ports:
      - "8000:8000"
    depends_on:
      - redis
      - prometheus

  redis:
    image: redis:7-alpine

  prometheus:
    image: prom/prometheus

  grafana:
    image: grafana/grafana

关键洞见与架构决策

  1. 简洁胜于过度工程 – 采用直观的 FastAPI 结构并明确职责分离,使代码库易于理解和扩展。
  2. MCP 是补充,而非取代良好的 API 设计 – 网关仍然强调 RESTful 端点、统一错误处理、恰当的 HTTP 状态码以及完整的文档。
  3. 契约测试防止漂移 – 测试确保公开契约(例如认证响应)保持稳定。

示例契约测试

# tests/test_auth_contract.py
def test_auth_endpoint_contract(client):
    """Ensure auth endpoint maintains contract."""
    response = client.post(
        "/auth/login",
        json={"username": "demo", "password": "demo123"},
    )
    assert response.status_code == 200
    data = response.json()
    assert "access_token" in data
    assert "refresh_token" in data
    assert "token_type" in data
    assert data["token_type"] == "bearer"

入门指南

# Clone the repository
git clone https://github.com/YOUR_USERNAME/mcp-secure-gateway.git
cd mcp-secure-gateway

# Set up a virtual environment
python -m venv venv
source venv/bin/activate

# Install dependencies
pip install -r requirements.txt

# Configure environment variables
cp .env.example .env

# Run with Docker
docker-compose up -d

# Or run locally
uvicorn app.main:app --reload

打开浏览器访问交互式 API 文档。

运行测试

# All tests
pytest

# With coverage report
pytest --cov=app --cov-report=html

# Contract tests only
pytest tests/contract/ -v

当前测试覆盖率超过 95 %

未来工作

  • 使用基于 Redis 的令牌桶算法实现 限流
  • JWT 黑名单(令牌撤销列表)存储在 Redis 中
  • 多租户 API Key 管理
  • 增加更多 MCP 工具(文件操作、数据库查询)
  • 为更深入的可观测性预配置 Grafana 仪表盘

参考资料

用 ❤️ 在巴黎构建;灵感来源于 API Days 2025。

Back to Blog

相关文章

阅读更多 »

我放弃做 FinOps 咨询

几个月前,我开始支持不同的客户实施资源和基础设施优化策略。这是一个复杂的决定……