MCP-authenticatie in 2026
Het Model Context Protocol (MCP) heeft de manier waarop agents met servers communiceren veranderd. Het begon met lokale tools zoals rekenmachines. Nu draait het op remote servers. Deze verschuiving heeft authenticatie tot een vereiste gemaakt.
Als je OAuth wilt toevoegen aan je MCP-server, bereid je dan voor op een bewegend doelwit. De specificatie verandert elke paar maanden. Verschillende agents gebruiken verschillende versies van de regels.
Hier is de huidige staat van MCP-authenticatie.
De kernverschuiving
Je MCP-server is geen autorisatieserver. Het is een resource server.
In het verleden dwong de specificatie servers om tokens en logins af te handelen. Dit maakte servers zwaar en moeilijk schaalbaar. Experts zoals Aaron Parecki en Christian Posta wezen hierop. Zij stelden dat MCP-servers alleen tokens zouden moeten valideren.
Tegenwoordig volgt de standaard deze flow:
• Een niet-geauthenticeerde aanvraag krijgt een 401-fout. • De foutmelding vertelt de client waar resource-metadata te vinden is. • De client vindt de juiste autorisatieserver (zoals Okta of Keycloak). • De client haalt een token op en presenteert deze aan je MCP-server. • Je server valideert het token en voert de tool uit.
Het fragmentatieprobleem
Hoewel er een standaard bestaat, implementeert elke agent deze anders.
• Claude Desktop: Voert de volledige OAuth-flow uit. • Claude API: Vereist dat je je eigen bearer token doorgeeft. • ChatGPT: Gebruikt CIMD voor registratie en ondersteunt de nieuwste specificatie. • Gemini: Gebruikt Google Cloud IAM en API-sleutels. • VS Code: Ondersteunt GitHub- en Entra-providers.
Dit betekent dat een server die voor de ene agent is gebouwd, kan falen bij een andere. De ene leverancier vereist mogelijk een volledige login-flow, terwijl een andere verwacht dat je het token zelf beheert.
Drie lessen voor ontwikkelaars
Richt je op het Resource Server-model. Probeer geen identity provider te worden. Gebruik RFC 9728 om metadata te serveren en de audience te valideren.
Ondersteun twee werelden. Bouw je server zo dat deze zowel "bring your own token" API-aanroepen als volledige OAuth-flows kan afhandelen.
Verwacht constante updates. De specificatie is nog volop in ontwikkeling. OAuth 2.1 is nog een concept, en het MCP-protocol is nog volop in beweging.
Het bouwen van MCP-servers is momenteel lastig. De regels veranderen snel. Als je flexibel blijft en vasthoudt aan het resource server-model, zul je de verschuivingen overleven.
Optionele leercommunity: https://t.me/GyaanSetuAi
