2026 માં MCP ઓથેન્ટિકેશન

Model Context Protocol (MCP) એ એજન્ટ્સ સર્વર્સ સાથે કેવી રીતે વાત કરે છે તે બદલી નાખ્યું છે. તેની શરૂઆત કેલ્ક્યુલેટર જેવા લોકલ ટૂલ્સથી થઈ હતી. હવે તે રિમોટ સર્વર્સ પર ચાલે છે. આ ફેરફારે ઓથેન્ટિકેશન (authentication) ને એક આવશ્યકતા બનાવી દીધી છે.

જો તમે તમારા MCP સર્વરમાં OAuth ઉમેરવા માંગતા હોવ, તો સતત બદલાતા લક્ષ્યો માટે તૈયાર રહો. સ્પેસિફિકેશન (spec) દર થોડા મહિને બદલાય છે. અલગ-અલગ એજન્ટ્સ નિયમોના અલગ-અલગ વર્ઝનનો ઉપયોગ કરે છે.

MCP ઓથેન્ટિકેશનની વર્તમાન સ્થિતિ અહીં છે.

મુખ્ય ફેરફાર

તમારું MCP સર્વર એ ઓથોરાઈઝેશન (authorization) સર્વર નથી. તે એક રિસોર્સ (resource) સર્વર છે.

ભૂતકાળમાં, સ્પેસિફિકેશન સર્વર્સને ટોકન્સ અને લોગિન હેન્ડલ કરવા માટે મજબૂર કરતું હતું. આના કારણે સર્વર્સ ભારે બનતા અને તેને સ્કેલ (scale) કરવું મુશ્કેલ બનતું. Aaron Parecki અને Christian Posta જેવા નિષ્ણાતોએ આ બાબત તરફ ધ્યાન દોર્યું હતું. તેઓએ દલીલ કરી હતી કે MCP સર્વર્સ માત્ર ટોકન્સને વેલિડેટ (validate) કરવા જોઈએ.

આજે, સ્ટાન્ડર્ડ આ ફ્લો (flow) અનુસરે છે:

• એક અન-ઓથેન્ટિકેટેડ (unauthenticated) રિક્વેસ્ટને 401 એરર મળે છે. • એરર ક્લાયન્ટને જણાવે છે કે રિસોર્સ મેટાડેટા (resource metadata) ક્યાં શોધવો. • ક્લાયન્ટ સાચું ઓથોરાઈઝેશન સર્વર (જેમ કે Okta અથવા Keycloak) શોધે છે. • ક્લાયન્ટ એક ટોકન મેળવે છે અને તેને તમારા MCP સર્વરને રજૂ કરે છે. • તમારું સર્વર ટોકનને વેલિડેટ કરે છે અને ટૂલ ચલાવે છે.

ફ્રેગમેન્ટેશન (Fragmentation) ની સમસ્યા

ભલે એક સ્ટાન્ડર્ડ અસ્તિત્વમાં છે, તેમ છતાં દરેક એજન્ટ તેને અલગ રીતે અમલમાં મૂકે છે.

• Claude Desktop: સંપૂર્ણ OAuth ફ્લો ચલાવે છે. • Claude API: તમારે તમારું પોતાનું bearer token પાસ કરવું જરૂરી છે. • ChatGPT: રજિસ્ટ્રેશન માટે CIMD નો ઉપયોગ કરે છે અને લેટેસ્ટ સ્પેસિફિકેશનને સપોર્ટ કરે છે. • Gemini: Google Cloud IAM અને API keys નો ઉપયોગ કરે છે. • VS Code: GitHub અને Entra પ્રોવાઈડર્સને સપોર્ટ કરે છે.

આનો અર્થ એ છે કે એક એજન્ટ માટે બનાવેલ સર્વર બીજા એજન્ટ પર નિષ્ફળ જઈ શકે છે. એક વેન્ડર સંપૂર્ણ લોગિન ફ્લોની માંગ કરી શકે છે, જ્યારે બીજો એવી અપેક્ષા રાખે છે કે તમે પોતે ટોકન મેનેજ કરો.

ડેવલપર્સ માટે ત્રણ પાઠ

  1. રિસોર્સ સર્વર (Resource Server) મોડેલને લક્ષ્ય બનાવો. આઈડેન્ટિટી પ્રોવાઈડર (identity provider) બનવાનો પ્રયાસ કરશો નહીં. મેટાડેટા સર્વ કરવા અને ઓડિયન્સને વેલિડેટ કરવા માટે RFC 9728 નો ઉપયોગ કરો.

  2. બે દુનિયાને સપોર્ટ કરો. તમારા સર્વરને "bring your own token" API કોલ્સ અને સંપૂર્ણ OAuth ફ્લો બંનેને હેન્ડલ કરવા માટે બનાવો.

  3. સતત અપડેટ્સની અપેક્ષા રાખો. સ્પેસિફિકેશન હજુ પણ વિકસી રહ્યું છે. OAuth 2.1 હજુ પણ ડ્રાફ્ટ સ્ટેજમાં છે, અને MCP પ્રોટોકોલ હજુ પણ સ્થિર થઈ રહ્યો છે.

અત્યારે MCP સર્વર્સ બનાવવું મુશ્કેલ છે. નિયમો ઝડપથી બદલાય છે. જો તમે લવચીક (flexible) રહેશો અને રિસોર્સ સર્વર મોડેલને વળગી રહેશો, તો તમે આ ફેરફારોમાં ટકી શકશો.

સ્ત્રોત: https://dev.to/0ndreu/mcp-authentication-in-2026-how-oauth-flipped-the-servers-role-and-why-every-agent-differs-11fm

વૈકલ્પિક લર્નિંગ કોમ્યુનિટી: https://t.me/GyaanSetuAi