2026ರಲ್ಲಿ MCP ಅಥೆಂಟಿಕೇಶನ್ (Authentication)
Model Context Protocol (MCP) ಏಜೆಂಟ್ಗಳು ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ರೀತಿಯನ್ನೇ ಬದಲಿಸಿತು. ಇದು ಕ್ಯಾಲ್ಕುಲೇಟರ್ಗಳಂತಹ ಸ್ಥಳೀಯ (local) ಪರಿಕರಗಳಿಂದ ಪ್ರಾರಂಭವಾಯಿತು. ಈಗ ಇದು ರಿಮೋಟ್ ಸರ್ವರ್ಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಈ ಬದಲಾವಣೆಯು ಅಥೆಂಟಿಕೇಶನ್ ಅನ್ನು ಒಂದು ಅಗತ್ಯವನ್ನಾಗಿ ಮಾಡಿದೆ.
ನಿಮ್ಮ MCP ಸರ್ವರ್ಗೆ OAuth ಅನ್ನು ಸೇರಿಸಲು ನೀವು ಬಯಸಿದರೆ, ಬದಲಾಗುತ್ತಿರುವ ಗುರಿಯನ್ನು ಎದುರಿಸಲು ಸಿದ್ಧರಾಗಿರಿ. ಸ್ಪೆಸಿಫಿಕೇಶನ್ (spec) ಪ್ರತಿ ಕೆಲವು ತಿಂಗಳಿಗೊಮ್ಮೆ ಬದಲಾಗುತ್ತದೆ. ವಿವಿಧ ಏಜೆಂಟ್ಗಳು ನಿಯಮಗಳ ವಿಭಿನ್ನ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುತ್ತವೆ.
MCP ಅಥೆಂಟಿಕೇಶನ್ನ ಪ್ರಸ್ತುತ ಸ್ಥಿತಿ ಇಲ್ಲಿದೆ.
ಮೂಲ ಬದಲಾವಣೆ (The Core Shift)
ನಿಮ್ಮ MCP ಸರ್ವರ್ ಒಂದು ಅಥರೈಸೇಶನ್ (authorization) ಸರ್ವರ್ ಅಲ್ಲ. ಅದು ಒಂದು ರಿಸೋರ್ಸ್ (resource) ಸರ್ವರ್.
ಹಿಂದೆ, ಸ್ಪೆಸಿಫಿಕೇಶನ್ ಸರ್ವರ್ಗಳು ಟೋಕನ್ಗಳು ಮತ್ತು ಲಾಗಿನ್ಗಳನ್ನು ನಿರ್ವಹಿಸುವಂತೆ ಒತ್ತಾಯಿಸುತ್ತಿತ್ತು. ಇದು ಸರ್ವರ್ಗಳನ್ನು ಭಾರೀಗೊಳಿಸಿತು ಮತ್ತು ಸ್ಕೇಲ್ ಮಾಡುವುದು ಕಷ್ಟವಾಗುವಂತೆ ಮಾಡಿತು. Aaron Parecki ಮತ್ತು Christian Posta ಅವರಂತಹ ತಜ್ಞರು ಇದನ್ನು ಎತ್ತಿ ತೋರಿಸಿದರು. MCP ಸರ್ವರ್ಗಳು ಕೇವಲ ಟೋಕನ್ಗಳನ್ನು ವ್ಯಾಲಿಡೇಟ್ (validate) ಮಾಡಬೇಕು ಎಂದು ಅವರು ವಾದಿಸಿದರು.
ಇಂದು, ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಈ ಕೆಳಗಿನ ಹರಿವನ್ನು (flow) ಅನುಸರಿಸುತ್ತದೆ:
• ಅಥೆಂಟಿಕೇಟ್ ಮಾಡದ ವಿನಂತಿಗೆ (unauthenticated request) 401 ಎರರ್ ಬರುತ್ತದೆ. • ಈ ಎರರ್ ಕ್ಲೈಂಟ್ಗೆ ರಿಸೋರ್ಸ್ ಮೆಟಾಡೇಟಾವನ್ನು ಎಲ್ಲಿ ಹುಡುಕಬೇಕೆಂದು ತಿಳಿಸುತ್ತದೆ. • ಕ್ಲೈಂಟ್ ಸರಿಯಾದ ಅಥರೈಸೇಶನ್ ಸರ್ವರ್ ಅನ್ನು (Okta ಅಥವಾ Keycloak ನಂತಹ) ಹುಡುಕುತ್ತದೆ. • ಕ್ಲೈಂಟ್ ಒಂದು ಟೋಕನ್ ಪಡೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ನಿಮ್ಮ MCP ಸರ್ವರ್ಗೆ ಸಲ್ಲಿಸುತ್ತದೆ. • ನಿಮ್ಮ ಸರ್ವರ್ ಟೋಕನ್ ಅನ್ನು ವ್ಯಾಲಿಡೇಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಟೂಲ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ.
ವಿಭಜನೆಯ ಸಮಸ್ಯೆ (The Fragmentation Problem)
ಒಂದು ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಇದ್ದರೂ ಸಹ, ಪ್ರತಿಯೊಂದು ಏಜೆಂಟ್ ಅದನ್ನು ವಿಭಿನ್ನವಾಗಿ ಅನುಷ್ಠಾನಗೊಳಿಸುತ್ತದೆ (implement).
• Claude Desktop: ಪೂರ್ಣ ಪ್ರಮಾಣದ OAuth ಹರಿವನ್ನು ರನ್ ಮಾಡುತ್ತದೆ. • Claude API: ನಿಮ್ಮ ಸ್ವಂತ ಬೇರರ್ ಟೋಕನ್ ಅನ್ನು (bearer token) ಪಾಸೇಶನ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ. • ChatGPT: ನೋಂದಣಿಗಾಗಿ CIMD ಅನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಇತ್ತೀಚಿನ ಸ್ಪೆಸಿಫಿಕೇಶನ್ ಅನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. • Gemini: Google Cloud IAM ಮತ್ತು API ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ. • VS Code: GitHub ಮತ್ತು Entra ಪ್ರೊವೈಡರ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
ಇದರರ್ಥ ಒಂದು ಏಜೆಂಟ್ಗಾಗಿ ನಿರ್ಮಿಸಲಾದ ಸರ್ವರ್ ಇನ್ನೊಂದರಲ್ಲಿ ವಿಫಲವಾಗಬಹುದು. ಒಂದು ವೆಂಡರ್ ಪೂರ್ಣ ಪ್ರಮಾಣದ ಲಾಗಿನ್ ಹರಿವನ್ನು ಬಯಸಬಹುದು, ಆದರೆ ಇನ್ನೊಂದು ನೀವು ಸ್ವತಃ ಟೋಕನ್ ಅನ್ನು ನಿರ್ವಹಿಸಬೇಕೆಂದು ನಿರೀಕ್ಷಿಸಬಹುದು.
ಡೆವಲಪರ್ಗಳಿಗಾಗಿ ಮೂರು ಪಾಠಗಳು
ರಿಸೋರ್ಸ್ ಸರ್ವರ್ ಮಾಡೆಲ್ ಅನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಳ್ಳಿ. ಐಡೆಂಟಿಟಿ ಪ್ರೊವೈಡರ್ ಆಗಲು ಪ್ರಯತ್ನಿಸಬೇಡಿ. ಮೆಟಾಡೇಟಾವನ್ನು ನೀಡಲು ಮತ್ತು ಆಡಿಯನ್ಸ್ ಅನ್ನು ವ್ಯಾಲಿಡೇಟ್ ಮಾಡಲು RFC 9728 ಅನ್ನು ಬಳಸಿ.
ಎರಡು ಪ್ರಪಂಚಗಳನ್ನು ಬೆಂಬಲಿಸಿ. "ನಿಮ್ಮ ಸ್ವಂತ ಟೋಕನ್ ತನ್ನಿ" (bring your own token) API ಕರೆಗಳು ಮತ್ತು ಪೂರ್ಣ OAuth ಹರಿಗಳು ಎರಡನ್ನೂ ನಿರ್ವಹಿಸಲು ನಿಮ್ಮ ಸರ್ವರ್ ಅನ್ನು ನಿರ್ಮಿಸಿ.
ನಿರಂತರ ಅಪ್ಡೇಟ್ಗಳನ್ನು ನಿರೀಕ್ಷಿಸಿ. ಸ್ಪೆಸಿಫಿಕೇಶನ್ ಇನ್ನೂ ವಿಕಸನಗೊಳ್ಳುತ್ತಿದೆ. OAuth 2.1 ಇನ್ನೂ ಕರಡು ರೂಪದಲ್ಲಿದೆ ಮತ್ತು MCP ಪ್ರೊಟೊಕಾಲ್ ಇನ್ನೂ ತನ್ನ ಅಡಿಪಾಯವನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತಿದೆ.
ಪ್ರಸ್ತುತ MCP ಸರ್ವರ್ಗಳನ್ನು ನಿರ್ಮಿಸುವುದು ಕಷ್ಟಕರವಾಗಿದೆ. ನಿಯಮಗಳು ವೇಗವಾಗಿ ಬದಲಾಗುತ್ತವೆ. ನೀವು ನಮ್ಯತೆಯನ್ನು (flexibility) ಹೊಂದಿದ್ದು, ರಿಸೋರ್ಸ್ ಸರ್ವರ್ ಮಾಡೆಲ್ ಅನ್ನು ಪಾಲಿಸಿದರೆ, ಈ ಬದಲಾವಣೆಗಳನ್ನು ಎದುರಿಸಬಹುದು.
ಮೂಲ (Source): https://dev.to/0ndreu/mcp-authentication-in-2026-how-oauth-flipped-the-servers-role-and-why-every-agent-differs-11fm
ಐಚ್ಛಿಕ ಕಲಿಕಾ ಸಮುದಾಯ (Optional learning community): https://t.me/GyaanSetuAi
