pub(crate) async fn inject_www_authenticate(
req: Request,
next: Next,
) -> ResponseExpand description
Tower middleware: 如果下游(MCP service)返回 401/403 又没 WWW-Authenticate
头,补一个 Bearer resource_metadata="...",指向 /.well-known/oauth-protected-resource。
符合 RFC 9728 §5.1:资源服务器应通过 WWW-Authenticate 宣告 metadata URL, 让未配置的客户端能自动发现 scope 和鉴权方式。