2026'da MCP Kimlik Doğrulaması
Model Bağlam Protokolü (MCP), ajanların sunucularla nasıl iletişim kurduğunu değiştirdi. Hesap makineleri gibi yerel araçlarla başladı. Şimdi ise uzak sunucularda çalışıyor. Bu değişim, kimlik doğrulamayı bir gereklilik haline getirdi.
MCP sunucunuza OAuth eklemek istiyorsanız, sürekli değişen bir hedefe hazır olun. Spesifikasyon her birkaç ayda bir değişiyor. Farklı ajanlar, kuralların farklı sürümlerini kullanıyor.
İşte MCP kimlik doğrulamasının mevcut durumu.
Temel Değişim
MCP sunucunuz bir yetkilendirme (authorization) sunucusu değildir. O bir kaynak (resource) sunucusudur.
Geçmişte spesifikasyon, sunucuları token'ları ve giriş işlemlerini yönetmeye zorluyordu. Bu durum sunucuları hantallaştırıyor ve ölçeklendirmeyi zorlaştırıyordu. Aaron Parecki ve Christian Posta gibi uzmanlar bu duruma dikkat çekti. MCP sunucularının yalnızca token'ları doğrulaması gerektiğini savundular.
Bugün standart şu akışı izliyor:
• Kimlik doğrulanmamış bir istek 401 hatası alır. • Hata, istemciye kaynak meta verilerini nerede bulacağını söyler. • İstemci, doğru yetkilendirme sunucusunu (Okta veya Keycloak gibi) bulur. • İstemci bir token alır ve bunu MCP sunucunuza sunar. • Sunucunuz token'ı doğrular ve aracı çalıştırır.
Parçalanma Sorunu
Bir standart mevcut olsa da, her ajan bunu farklı şekilde uygular.
• Claude Desktop: Tam OAuth akışını çalıştırır. • Claude API: Kendi bearer token'ınızı iletmenizi gerektirir. • ChatGPT: Kayıt için CIMD kullanır ve en güncel spesifikasyonu destekler. • Gemini: Google Cloud IAM ve API anahtarlarını kullanır. • VS Code: GitHub ve Entra sağlayıcılarını destekler.
Bu, bir ajan için oluşturulan bir sunucunun bir diğerinde başarısız olabileceği anlamına gelir. Bir sağlayıcı tam bir giriş akışı gerektirirken, bir diğeri token'ı kendinizin yönetmesini bekleyebilir.
Geliştiriciler İçin Üç Ders
Kaynak Sunucusu (Resource Server) modelini hedefleyin. Bir kimlik sağlayıcısı (identity provider) olmaya çalışmayın. Meta verileri sunmak ve audience (hedef kitle) doğrulaması yapmak için RFC 9728'i kullanın.
İki dünyayı da destekleyin. Sunucunuzu hem "kendi token'ını getir" (bring your own token) API çağrılarını hem de tam OAuth akışlarını yönetecek şekilde inşa edin.
Sürekli güncellemeler bekleyin. Spesifikasyon hâlâ gelişiyor. OAuth 2.1 hâlâ bir taslak aşamasında ve MCP protokolü henüz yerini bulmaya çalışıyor.
Şu anda MCP sunucuları oluşturmak zor. Kurallar hızla değişiyor. Esnek kalır ve kaynak sunucusu modeline sadık kalırsanız, bu değişimlerden sağ çıkarsınız.
İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi
