MCP-Hub项目中环境变量传递的最佳实践

MCP-Hub项目中环境变量传递的最佳实践

mcp-hub A centralized manager for Model Context Protocol (MCP) servers with dynamic server management and monitoring 项目地址: https://gitcode.com/gh_mirrors/mc/mcp-hub

背景介绍

在MCP-Hub项目的实际使用中，开发者经常需要为不同的MCP服务器配置敏感信息，如API密钥等。传统的做法是直接在mcpservers.json配置文件中硬编码这些敏感信息，但这会带来安全隐患，特别是当配置文件需要提交到版本控制系统时。

问题分析

原始实现中，MCPConnection.js会直接从配置文件中读取环境变量配置，这导致开发者必须在配置文件中明文存储敏感信息。这种做法存在以下问题：

1. 安全风险：敏感信息直接暴露在配置文件中
2. 维护困难：不同环境需要不同的配置文件
3. 版本控制不便：无法将配置文件安全地提交到代码仓库

解决方案

MCP-Hub在1.6.1版本中引入了一种优雅的解决方案，允许开发者通过系统环境变量传递敏感信息。实现原理如下：

1. 首先读取配置文件中的环境变量设置
2. 对于值为null或未设置的变量，自动从系统环境变量中获取
3. 最终合并所有环境变量传递给子进程

配置示例

开发者现在可以这样配置mcpservers.json文件：

{
  "mcpServers": {
    "brave-search": {
      "command": "npx",
      "args": ["-y", "@modelcontextprotocol/server-brave-search"],
      "env": {
        "BRAVE_API_KEY": null
      }
    }
  }
}

当BRAVE_API_KEY设置为null时，系统会自动从process.env中获取同名环境变量。

实现细节

核心修改位于MCPConnection.js文件中，主要逻辑是：

const env = this.config.env || {};
Object.keys(env).forEach((key) => {
  env[key] = env[key] ? env[key] : process.env[key];
});

这段代码实现了环境变量的智能合并，优先使用配置文件中的值，如果为null则回退到系统环境变量。

最佳实践建议

1. 对于敏感信息，建议在配置文件中设置为null，通过系统环境变量传递
2. 非敏感配置可以直接在配置文件中设置
3. 开发环境可以使用.env文件管理环境变量
4. 生产环境建议使用容器编排系统或服务器环境变量管理敏感信息

总结

MCP-Hub的这一改进大大提升了项目的安全性和可维护性，使开发者能够更安全地管理敏感信息，同时保持配置文件的版本控制友好性。这种模式也是现代应用开发中管理配置的推荐做法。

mcp-hub A centralized manager for Model Context Protocol (MCP) servers with dynamic server management and monitoring 项目地址: https://gitcode.com/gh_mirrors/mc/mcp-hub