2026-ലെ MCP ഓതന്റിക്കേഷൻ

ഏജന്റുകൾ സെർവറുകളുമായി ആശയവിനിമയം നടത്തുന്ന രീതിയെ Model Context Protocol (MCP) മാറ്റിമറിച്ചു. കാൽക്കുലേറ്ററുകൾ പോലുള്ള ലോക്കൽ ടൂളുകളിലൂടെയാണ് ഇത് തുടങ്ങിയത്. ഇപ്പോൾ ഇത് റിമോട്ട് സെർവറുകളിൽ പ്രവർത്തിക്കുന്നു. ഈ മാറ്റം ഓതന്റിക്കേഷൻ (authentication) ഒരു അനിവാര്യതയാക്കി മാറ്റി.

നിങ്ങളുടെ MCP സെർവറിൽ OAuth ചേർക്കാൻ ആഗ്രഹിക്കുന്നുണ്ടെങ്കിൽ, മാറിക്കൊണ്ടിരിക്കുന്ന ഒരു ലക്ഷ്യത്തിനായി തയ്യാറെടുക്കുക. സ്പെസിഫിക്കേഷൻ (spec) ഓരോ മാസവും മാറിക്കൊണ്ടിരിക്കുന്നു. വ്യത്യസ്ത ഏജന്റുകൾ നിയമങ്ങളുടെ വ്യത്യസ്ത പതിപ്പുകളാണ് ഉപയോഗിക്കുന്നത്.

MCP ഓതന്റിക്കേഷന്റെ നിലവിലെ അവസ്ഥ ഇതാ.

പ്രധാന മാറ്റം

നിങ്ങളുടെ MCP സെർവർ ഒരു ഓതറൈസേഷൻ (authorization) സെർവറല്ല. അതൊരു റിസോഴ്സ് (resource) സെർവറാണ്.

മുൻപ്, ടോക്കണുകളും ലോഗിനുകളും കൈകാര്യം ചെയ്യാൻ സ്പെസിഫിക്കേഷൻ സെർവറുകളെ നിർബന്ധിച്ചിരുന്നു. ഇത് സെർവറുകളെ ഭാരമേറിയതാക്കുകയും സ്കെയിൽ ചെയ്യാൻ പ്രയാസമാക്കുകയും ചെയ്തു. Aaron Parecki, Christian Posta തുടങ്ങിയ വിദഗ്ധർ ഇത് ചൂണ്ടിക്കാട്ടിയിരുന്നു. MCP സെർവറുകൾ ടോക്കണുകൾ വാലിഡേറ്റ് (validate) ചെയ്യേണ്ടതുണ്ടെന്ന് മാത്രം അവർ വാദിച്ചു.

ഇന്ന്, സ്റ്റാൻഡേർഡ് ഈ രീതിയാണ് പിന്തുടരുന്നത്:

• ഓതന്റിക്കേഷൻ ഇല്ലാത്ത ഒരു റിക്വസ്റ്റിന് 401 എറർ ലഭിക്കുന്നു. • റിസോഴ്സ് മെറ്റാഡാറ്റ (resource metadata) എവിടെ കണ്ടെത്താം എന്ന് ഈ എറർ ക്ലയന്റിനോട് പറയുന്നു. • ക്ലയന്റ് ശരിയായ ഓതറൈസേഷൻ സെർവർ (Okta അല്ലെങ്കിൽ Keycloak പോലുള്ളവ) കണ്ടെത്തുന്നു. • ക്ലയന്റ് ഒരു ടോക്കൺ വാങ്ങി അത് നിങ്ങളുടെ MCP സെർവറിന് നൽകുന്നു. • നിങ്ങളുടെ സെർവർ ടോക്കൺ വാലിഡേറ്റ് ചെയ്യുകയും ടൂൾ പ്രവർത്തിപ്പിക്കുകയും ചെയ്യുന്നു.

വിഭജന പ്രശ്നം (The Fragmentation Problem)

ഒരു സ്റ്റാൻഡേർഡ് നിലവിലുണ്ടെങ്കിലും, ഓരോ ഏജന്റും ഇത് വ്യത്യസ്ത രീതിയിലാണ് നടപ്പിലാക്കുന്നത്.

• Claude Desktop: പൂർണ്ണമായ OAuth ഫ്ലോ പ്രവർത്തിപ്പിക്കുന്നു. • Claude API: നിങ്ങളുടെ സ്വന്തം ബെയറർ ടോക്കൺ (bearer token) നൽകേണ്ടതുണ്ട്. • ChatGPT: രജിസ്ട്രേഷനായി CIMD ഉപയോഗിക്കുന്നു കൂടാതെ ഏറ്റവും പുതിയ സ്പെസിഫിക്കേഷനും പിന്തുണയ്ക്കുന്നു. • Gemini: Google Cloud IAM-ഉം API കീകൾ ഉപയോഗിക്കുന്നു. • VS Code: GitHub, Entra പ്രൊവൈഡർമാരെ പിന്തുണയ്ക്കുന്നു.

ഇതിനർത്ഥം ഒരു ഏജന്റിനായി നിർമ്മിച്ച സെർവർ മറ്റൊരു ഏജന്റിൽ പരാജയപ്പെട്ടേക്കാം എന്നാണ്. ഒരു വെണ്ടർ പൂർണ്ണമായ ലോഗിൻ ഫ്ലോ ആവശ്യപ്പെടുമ്പോൾ, മറ്റൊരാൾ ടോക്കൺ സ്വയം കൈകാര്യം ചെയ്യാൻ നിങ്ങളോട് ആവശ്യപ്പെട്ടേക്കാം.

ഡെവലപ്പർമാർക്കുള്ള മൂന്ന് പാഠങ്ങൾ

  1. റിസോഴ്സ് സെർവർ മോഡൽ ലക്ഷ്യമിടുക. ഒരു ഐഡന്റിറ്റി പ്രൊവൈഡർ (identity provider) ആകാൻ ശ്രമിക്കരുത്. മെറ്റാഡാറ്റ നൽകുന്നതിനും ഓഡിയൻസ് വാലിഡേറ്റ് ചെയ്യുന്നതിനും RFC 9728 ഉപയോഗിക്കുക.

  2. രണ്ട് രീതികളെയും പിന്തുണയ്ക്കുക. "bring your own token" രീതിയിലുള്ള API കോളുകളും പൂർണ്ണമായ OAuth ഫ്ലോകളും കൈകാര്യം ചെയ്യാൻ നിങ്ങളുടെ സെർവർ നിർമ്മിക്കുക.

  3. നിരന്തരമായ അപ്‌ഡേറ്റുകൾ പ്രതീക്ഷിക്കുക. സ്പെസിഫിക്കേഷൻ ഇപ്പോഴും വികസിച്ചുകൊണ്ടിരിക്കുകയാണ്. OAuth 2.1 ഇപ്പോഴും ഒരു ഡ്രാഫ്റ്റ് ഘട്ടത്തിലാണ്, MCP പ്രോട്ടോക്കോളും അതിന്റെ സ്ഥാനം ഉറപ്പിക്കാനുള്ള ശ്രമത്തിലാണ്.

നിലവിൽ MCP സെർവറുകൾ നിർമ്മിക്കുന്നത് പ്രയാസകരമാണ്. നിയമങ്ങൾ വേഗത്തിൽ മാറുന്നു. നിങ്ങൾ ഫ്ലെക്സിബിൾ ആയിരിക്കുകയും റിസോഴ്സ് സെർവർ മോഡൽ പിന്തുടരുകയും ചെയ്താൽ ഈ മാറ്റങ്ങളെ അതിജീവിക്കാൻ സാധിക്കും.

Source: https://dev.to/0ndreu/mcp-authentication-in-2026-how-oauth-flipped-the-servers-role-and-why-every-agent-differs-11fm

Optional learning community: https://t.me/GyaanSetuAi