Autenticazione MCP nel 2026
Il Model Context Protocol (MCP) ha cambiato il modo in cui gli agenti comunicano con i server. È iniziato con strumenti locali come le calcolatrici. Ora viene eseguito su server remoti. Questo cambiamento ha reso l'autenticazione un requisito fondamentale.
Se vuoi aggiungere OAuth al tuo server MCP, preparati a un obiettivo mobile. La specifica cambia ogni pochi mesi. Diversi agenti utilizzano versioni differenti delle regole.
Ecco lo stato attuale dell'autenticazione MCP.
Il cambiamento fondamentale
Il tuo server MCP non è un server di autorizzazione. È un server di risorse.
In passato, la specifica costringeva i server a gestire token e login. Ciò rendeva i server pesanti e difficili da scalare. Esperti come Aaron Parecki e Christian Posta hanno evidenziato questo problema. Sostenevano che i server MCP dovrebbero solo validare i token.
Oggi, lo standard segue questo flusso:
• Una richiesta non autenticata riceve un errore 401. • L'errore indica al client dove trovare i metadati della risorsa. • Il client trova il server di autorizzazione corretto (come Okta o Keycloak). • Il client ottiene un token e lo presenta al tuo server MCP. • Il tuo server valida il token ed esegue lo strumento.
Il problema della frammentazione
Nonostante esista uno standard, ogni agente lo implementa in modo diverso.
• Claude Desktop: Esegue l'intero flusso OAuth. • Claude API: Richiede di passare il proprio bearer token. • ChatGPT: Utilizza CIMD per la registrazione e supporta l'ultima specifica. • Gemini: Utilizza Google Cloud IAM e chiavi API. • VS Code: Supporta i provider GitHub ed Entra.
Ciò significa che un server costruito per un agente potrebbe non funzionare su un altro. Un fornitore potrebbe richiedere un intero flusso di login, mentre un altro potrebbe aspettarsi che tu gestisca il token autonomamente.
Tre lezioni per gli sviluppatori
Punta al modello Resource Server. Non cercare di diventare un identity provider. Usa RFC 9728 per fornire metadati e validare l'audience.
Supporta due mondi. Costruisci il tuo server in modo da gestire sia le chiamate API "bring your own token" che gli interi flussi OAuth.
Aspettati aggiornamenti costanti. La specifica è ancora in evoluzione. OAuth 2.1 è ancora una bozza e il protocollo MCP si sta ancora assestando.
Costruire server MCP è difficile in questo momento. Le regole cambiano rapidamente. Se rimani flessibile e ti attieni al modello resource server, sopravviverai ai cambiamenti.
Community di apprendimento opzionale: https://t.me/GyaanSetuAi
