Autenticación de MCP en 2026
El Model Context Protocol (MCP) cambió la forma en que los agentes se comunican con los servidores. Comenzó con herramientas locales como calculadoras. Ahora se ejecuta en servidores remotos. Este cambio convirtió la autenticación en un requisito.
Si desea añadir OAuth a su servidor MCP, prepárese para un objetivo móvil. La especificación cambia cada pocos meses. Diferentes agentes utilizan diferentes versiones de las reglas.
Este es el estado actual de la autenticación de MCP.
El cambio fundamental
Su servidor MCP no es un servidor de autorización. Es un servidor de recursos.
En el pasado, la especificación obligaba a los servidores a gestionar tokens e inicios de sesión. Esto hacía que los servidores fueran pesados y difíciles de escalar. Expertos como Aaron Parecki y Christian Posta señalaron esto. Argumentaron que los servidores MCP solo deberían validar tokens.
Hoy en día, el estándar sigue este flujo:
• Una solicitud no autenticada recibe un error 401. • El error indica al cliente dónde encontrar los metadatos del recurso. • El cliente encuentra el servidor de autorización correcto (como Okta o Keycloak). • El cliente obtiene un token y lo presenta a su servidor MCP. • Su servidor valida el token y ejecuta la herramienta.
El problema de la fragmentación
Aunque existe un estándar, cada agente lo implementa de manera diferente.
• Claude Desktop: Ejecuta el flujo completo de OAuth. • Claude API: Requiere que usted pase su propio bearer token. • ChatGPT: Utiliza CIMD para el registro y es compatible con la última especificación. • Gemini: Utiliza Google Cloud IAM y claves de API. • VS Code: Admite proveedores de GitHub y Entra.
Esto significa que un servidor construido para un agente podría fallar en otro. Un proveedor podría requerir un flujo de inicio de sesión completo, mientras que otro espera que usted gestione el token por su cuenta.
Tres lecciones para desarrolladores
Apunte al modelo de Servidor de Recursos. No intente convertirse en un proveedor de identidad. Utilice RFC 9728 para servir metadatos y validar la audiencia (audience).
Admita dos mundos. Construya su servidor para que pueda manejar tanto las llamadas a la API de "traiga su propio token" (bring your own token) como los flujos completos de OAuth.
Espere actualizaciones constantes. La especificación aún está evolucionando. OAuth 2.1 sigue siendo un borrador y el protocolo MCP aún está encontrando su lugar.
Construir servidores MCP es difícil en este momento. Las reglas cambian rápido. Si se mantiene flexible y se ciñe al modelo de servidor de recursos, sobrevivirá a los cambios.
Comunidad de aprendizaje opcional: https://t.me/GyaanSetuAi
