Autenticação MCP em 2026
O Model Context Protocol (MCP) mudou a forma como os agentes se comunicam com os servidores. Começou com ferramentas locais, como calculadoras. Agora, ele roda em servidores remotos. Essa mudança tornou a autenticação um requisito.
Se você deseja adicionar OAuth ao seu servidor MCP, prepare-se para um alvo móvel. A especificação muda a cada poucos meses. Diferentes agentes utilizam diferentes versões das regras.
Aqui está o estado atual da autenticação MCP.
A Mudança Fundamental
Seu servidor MCP não é um servidor de autorização. Ele é um servidor de recursos.
No passado, a especificação forçava os servidores a lidar com tokens e logins. Isso tornava os servidores pesados e difíceis de escalar. Especialistas como Aaron Parecki e Christian Posta apontaram isso. Eles argumentaram que os servidores MCP deveriam apenas validar tokens.
Hoje, o padrão segue este fluxo:
• Uma requisição não autenticada recebe um erro 401. • O erro informa ao cliente onde encontrar os metadados do recurso. • O cliente encontra o servidor de autorização correto (como Okta ou Keycloak). • O cliente obtém um token e o apresenta ao seu servidor MCP. • Seu servidor valida o token e executa a ferramenta.
O Problema da Fragmentação
Embora exista um padrão, cada agente o implementa de forma diferente.
• Claude Desktop: Executa o fluxo OAuth completo. • Claude API: Exige que você passe seu próprio bearer token. • ChatGPT: Usa CIMD para registro e suporta a especificação mais recente. • Gemini: Usa Google Cloud IAM e chaves de API. • VS Code: Suporta provedores GitHub e Entra.
Isso significa que um servidor construído para um agente pode falhar em outro. Um fornecedor pode exigir um fluxo de login completo, enquanto outro espera que você gerencie o token por conta própria.
Três Lições para Desenvolvedores
Foque no modelo de Servidor de Recursos. Não tente se tornar um provedor de identidade. Use o RFC 9728 para fornecer metadados e validar o
audience.Suporte dois mundos. Construa seu servidor para lidar tanto com chamadas de API do tipo "traga seu próprio token" quanto com fluxos OAuth completos.
Espere atualizações constantes. A especificação ainda está evoluindo. O OAuth 2.1 ainda é um rascunho, e o protocolo MCP ainda está se consolidando.
Construir servidores MCP é difícil no momento. As regras mudam rápido. Se você se mantiver flexível e seguir o modelo de servidor de recursos, sobreviverá às mudanças.
Comunidade de aprendizado opcional: https://t.me/GyaanSetuAi
