Autentikasi MCP di tahun 2026
Model Context Protocol (MCP) telah mengubah cara agen berkomunikasi dengan server. Awalnya dimulai dengan alat lokal seperti kalkulator. Sekarang, ia berjalan di server jarak jauh. Pergeseran ini membuat autentikasi menjadi sebuah keharusan.
Jika Anda ingin menambahkan OAuth ke server MCP Anda, bersiaplah menghadapi target yang terus berubah. Spesifikasinya berubah setiap beberapa bulan. Agen yang berbeda menggunakan versi aturan yang berbeda pula.
Berikut adalah kondisi terkini dari autentikasi MCP.
Pergeseran Inti
Server MCP Anda bukanlah server otorisasi. Ia adalah resource server.
Di masa lalu, spesifikasi memaksa server untuk menangani token dan login. Hal ini membuat server menjadi berat dan sulit untuk diskalakan. Pakar seperti Aaron Parecki dan Christian Posta menyoroti hal ini. Mereka berargumen bahwa server MCP seharusnya hanya memvalidasi token.
Saat ini, standarnya mengikuti alur berikut:
• Permintaan yang tidak terautentikasi mendapatkan error 401. • Error tersebut memberi tahu klien di mana menemukan metadata sumber daya. • Klien menemukan server otorisasi yang tepat (seperti Okta atau Keycloak). • Klien mendapatkan token dan memberikannya ke server MCP Anda. • Server Anda memvalidasi token tersebut dan menjalankan alatnya.
Masalah Fragmentasi
Meskipun standar sudah ada, setiap agen mengimplementasikannya secara berbeda.
• Claude Desktop: Menjalankan alur OAuth secara penuh. • Claude API: Mewajibkan Anda untuk mengirimkan bearer token Anda sendiri. • ChatGPT: Menggunakan CIMD untuk registrasi dan mendukung spesifikasi terbaru. • Gemini: Menggunakan Google Cloud IAM dan API keys. • VS Code: Mendukung penyedia GitHub dan Entra.
Ini berarti server yang dibangun untuk satu agen mungkin gagal pada agen lainnya. Satu vendor mungkin mewajibkan alur login lengkap, sementara vendor lain mengharapkan Anda untuk mengelola token sendiri.
Tiga Pelajaran untuk Pengembang
Targetkan model Resource Server. Jangan mencoba menjadi penyedia identitas (identity provider). Gunakan RFC 9728 untuk menyajikan metadata dan memvalidasi audience.
Dukung dua dunia. Bangun server Anda agar dapat menangani panggilan API "bring your own token" maupun alur OAuth penuh.
Harapkan pembaruan terus-menerus. Spesifikasinya masih terus berkembang. OAuth 2.1 masih berupa draf, dan protokol MCP masih dalam tahap mencari pijakannya.
Membangun server MCP saat ini cukup sulit. Aturannya berubah dengan cepat. Jika Anda tetap fleksibel dan berpegang pada model resource server, Anda akan mampu bertahan menghadapi pergeseran ini.
Komunitas belajar opsional: https://t.me/GyaanSetuAi
