२०२६ मधील MCP Authentication
Model Context Protocol (MCP) ने एजंट्स आणि सर्व्हर्समधील संवाद करण्याची पद्धत बदलली आहे. याची सुरुवात कॅल्क्युलेटरसारख्या स्थानिक (local) टूल्सपासून झाली होती. आता ते रिमोट सर्व्हर्सवर चालते. या बदलामुळे authentication ही एक आवश्यकता बनली आहे.
जर तुम्हाला तुमच्या MCP सर्व्हरमध्ये OAuth जोडायचे असेल, तर सतत बदलणाऱ्या परिस्थितीसाठी तयार राहा. याचे spec दर काही महिन्यांनी बदलते. वेगवेगळे एजंट्स नियमांच्या वेगवेगळ्या आवृत्त्या वापरतात.
MCP authentication ची सध्याची स्थिती खालीलप्रमाणे आहे.
मुख्य बदल (The Core Shift)
तुमचा MCP सर्व्हर हा authorization server नाही. तो एक resource server आहे.
पूर्वी, spec मुळे सर्व्हर्सना tokens आणि logins हाताळावे लागत असत. यामुळे सर्व्हर्स जड (heavy) होत आणि त्यांना scale करणे कठीण जात असे. Aaron Parecki आणि Christian Posta यांसारख्या तज्ञांनी यावर भाष्य केले आहे. त्यांच्या मते, MCP सर्व्हर्सनी फक्त tokens validate करायला हवेत.
आज, मानक (standard) या प्रक्रियेचे पालन करते:
• अन-ऑथेंटिकेटेड (unauthenticated) विनंतीला 401 error मिळतो. • ही error क्लायंटला resource metadata कुठे शोधायचा ते सांगते. • क्लायंट योग्य authorization server (उदा. Okta किंवा Keycloak) शोधतो. • क्लायंट एक token मिळवतो आणि तो तुमच्या MCP सर्व्हरकडे सादर करतो. • तुमचा सर्व्हर token validate करतो आणि tool चालवतो.
विखंडनाचा प्रश्न (The Fragmentation Problem)
जरी एक मानक अस्तित्वात असले, तरी प्रत्येक एजंट त्याची अंमलबजावणी वेगवेगळ्या पद्धतीने करतो.
• Claude Desktop: पूर्ण OAuth flow चालवते. • Claude API: तुम्हाला तुमचा स्वतःचा bearer token पास करणे आवश्यक आहे. • ChatGPT: नोंदणीसाठी CIMD वापरते आणि नवीनतम spec ला सपोर्ट करते. • Gemini: Google Cloud IAM आणि API keys वापरते. • VS Code: GitHub आणि Entra providers ला सपोर्ट करते.
याचा अर्थ असा की एका एजंटसाठी बनवलेला सर्व्हर दुसऱ्यावर अयशस्वी ठरू शकतो. एखादा vendor पूर्ण login flow ची मागणी करू शकतो, तर दुसरा तुम्हाला स्वतः token मॅनेज करण्याची अपेक्षा करू शकतो.
डेव्हलपर्ससाठी तीन धडे
१. Resource Server मॉडेलवर लक्ष केंद्रित करा. Identity provider बनण्याचा प्रयत्न करू नका. Metadata सर्व्ह करण्यासाठी आणि audience validate करण्यासाठी RFC 9728 वापरा.
२. दोन जगांना सपोर्ट करा. तुमचे सर्व्हर "bring your own token" API calls आणि पूर्ण OAuth flows या दोन्ही गोष्टी हाताळण्यासाठी तयार करा.
३. सततच्या अपडेट्सची अपेक्षा ठेवा. Spec अजूनही विकसित होत आहे. OAuth 2.1 अजूनही ड्राफ्ट स्वरूपात आहे आणि MCP protocol अजूनही स्थिरावत आहे.
सध्या MCP सर्व्हर्स बनवणे कठीण आहे. नियम वेगाने बदलतात. जर तुम्ही लवचिक राहिलात आणि resource server मॉडेलचे पालन केले, तर तुम्ही या बदलांमध्ये टिकून राहाल.
Optional learning community: https://t.me/GyaanSetuAi
