MCP server authenticatie implementatiegids: volgens de nieuwste specificatie
Biedt belangrijke implementatiepunten voor MCP server authenticatie conform de specificatie van 2025-06-18.
Developer
Enkele dagen geleden (18 juni 2025) bracht het MCP (Model Context Protocol) team de nieuwste versie uit van de MCP Spec (2025-06-18). Deze update bevat een belangrijke wijziging in de authenticatiespecificatie. MCP Servers geven niet langer access tokens uit als een Authorization Server. In plaats daarvan zullen ze access tokens consumeren en resources aanbieden als een Resource Server.
Als een van de maintainers van MCP Auth (een plug-and-play MCP Server authenticatiebibliotheek), heb ik ondersteuning voor de nieuwste MCP authenticatiespecificatie aan dit project toegevoegd. Op basis van mijn praktische ervaring laat ik je zien hoe je authenticatie kunt implementeren in je eigen MCP Server, geheel in lijn met de nieuwste specificatie.
Dit artikel helpt je:
- Begrijpen hoe MCP authenticatie werkt onder de nieuwe authenticatiespecificatie
- Helder krijgen wat MCP Servers als Resource Server moeten implementeren volgens de vereisten in de MCP authenticatiespecificatie
- Leidraad geven voor het implementeren van auth support die voldoet aan de nieuwste MCP authenticatiespecificatie voor jouw MCP Server
- Aandachtspunten en beveiligingskwesties signaleren die vaak over het hoofd worden gezien bij implementatie van de MCP authenticatiespecificatie
Let op dat dit artikel:
- Ervan uitgaat dat de lezer basiskennis van JWT (JSON Web Token) heeft. De structuur van JWT, verificatie van ondertekening, en andere basisconcepten worden niet diepgaand besproken. Raadpleeg voor details Auth Wiki - JWT
- Geen uitgebreide uitleg geeft over de verschillende RFC's waarop de MCP authenticatiespecificatie steunt. Het biedt alleen implementaties die aan deze RFC eisen voldoen
- Niet ingaat op de implementatie en interactie tussen MCP Client en Authorization. Dit wordt gewoonlijk geïmplementeerd door LLM clients en providers van authorization servers die MCP ondersteunen op basis van specificaties. MCP Server ontwikkelaars hoeven en mogen hier niet op ingrijpen. Zie voor details OAuth Client en Authorization Server
- Alle access tokens in dit artikel worden verondersteld JWT's te zijn, het meest gebruikte formaat. Andere vormen van tokens moeten volgens de documentatie van de betreffende authorization server provider worden toegepast.
Hoe werkt MCP authenticatie?
Volgens de nieuwste MCP authenticatiespecificatie wordt de MCP auth flow als volgt weergegeven:
%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='actor actor-bottom' ry='3' rx='3' name='C' height='65' width='150' stroke='%23666' fill='%23eaeaea' y='748' x='0'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='780.5' x='75'%3e%3ctspan dy='0' x='75'%3eClient%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3cline name='A' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='748' x2='801' y1='65' x1='801' id='actor2'/%3e%3cg id='root-2'%3e%3crect class='actor actor-top' ry='3' rx='3' name='A' height='65' width='166' stroke='%23666' fill='%23eaeaea' y='0' x='718'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='801'%3e%3ctspan dy='0' x='801'%3eAuthorization Server%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cg%3e%3cline name='M' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='748' x2='547' y1='65' x1='547' id='actor1'/%3e%3cg id='root-1'%3e%3crect class='actor actor-top' ry='3' rx='3' name='M' height='65' width='242' stroke='%23666' fill='%23eaeaea' y='0' x='426'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='547'%3e%3ctspan dy='0' x='547'%3eMCP Server (Resource Server)%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cg%3e%3cline name='C' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='748' x2='75' y1='65' x1='75' id='actor0'/%3e%3cg id='root-0'%3e%3crect class='actor actor-top' ry='3' rx='3' name='C' height='65' width='150' stroke='%23666' fill='%23eaeaea' y='0' x='0'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='75'%3e%3ctspan dy='0' x='75'%3eClient%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cstyle%3e%23mermaid-0%7bfont-family:arial%2csans-serif%3bfont-size:16px%3bfill:%23333%3b%7d%23mermaid-0 .error-icon%7bfill:%23552222%3b%7d%23mermaid-0 .error-text%7bfill:%23552222%3bstroke:%23552222%3b%7d%23mermaid-0 .edge-thickness-normal%7bstroke-width:1px%3b%7d%23mermaid-0 .edge-thickness-thick%7bstroke-width:3.5px%3b%7d%23mermaid-0 .edge-pattern-solid%7bstroke-dasharray:0%3b%7d%23mermaid-0 .edge-thickness-invisible%7bstroke-width:0%3bfill:none%3b%7d%23mermaid-0 .edge-pattern-dashed%7bstroke-dasharray:3%3b%7d%23mermaid-0 .edge-pattern-dotted%7bstroke-dasharray:2%3b%7d%23mermaid-0 .marker%7bfill:%23333333%3bstroke:%23333333%3b%7d%23mermaid-0 .marker.cross%7bstroke:%23333333%3b%7d%23mermaid-0 svg%7bfont-family:arial%2csans-serif%3bfont-size:16px%3b%7d%23mermaid-0 p%7bmargin:0%3b%7d%23mermaid-0 .actor%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg%3e%3crect class='note' height='55' width='212' stroke='%23666' fill='%23EDF2AE' y='163' x='-31'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='168' x='75'%3e%3ctspan x='75'%3eExtract resource_metadata%3c/tspan%3e%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='186' x='75'%3e%3ctspan x='75'%3euit WWW-Authenticate%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='note' height='54' width='191' stroke='%23666' fill='%23EDF2AE' y='316' x='-20.5'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='321' x='75'%3e%3ctspan x='75'%3eValideer RS metadata%2c%3c/tspan%3e%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='338' x='75'%3e%3ctspan x='75'%3ebouw AS metadata URL%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='note' height='37' width='776' stroke='%23666' fill='%23EDF2AE' y='468' x='50'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='473' x='438'%3e%3ctspan x='438'%3eOAuth 2.1 autorisatieflow gebeurt hier%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='note' height='37' width='522' stroke='%23666' fill='%23EDF2AE' y='691' x='50'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='696' x='311'%3e%3ctspan x='311'%3eMCP-communicatie gaat door met geldig token%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='310'%3eMCP-verzoek zonder token%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='543' y1='109' x1='76'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='113' x='76'%3e1%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='313'%3eHTTP 401 Unauthorized met WWW-Authenticate header%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='153' x2='79' y1='153' x1='546'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='157' x='546'%3e2%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='233' x='310'%3eGET /.well-known/oauth-protected-resource%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='262' x2='543' y1='262' x1='76'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='266' x='76'%3e3%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='277' x='313'%3eResource metadata met authorization server URL%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='306' x2='79' y1='306' x1='546'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='310' x='546'%3e4%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='385' x='437'%3eGET /.well-known/oauth-authorization-server%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='414' x2='797' y1='414' x1='76'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='418' x='76'%3e5%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='429' x='440'%3eAuthorization server metadata%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='458' x2='79' y1='458' x1='800'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='462' x='800'%3e6%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='520' x='437'%3eToken aanvraag%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='549' x2='797' y1='549' x1='76'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='553' x='76'%3e7%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='564' x='440'%3eAccess token%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='593' x2='79' y1='593' x1='800'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='597' x='800'%3e8%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='608' x='310'%3eMCP-verzoek met access token%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='637' x2='543' y1='637' x1='76'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='641' x='76'%3e9%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='652' x='313'%3eMCP-respons%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='681' x2='79' y1='681' x1='546'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='685' x='546'%3e10%3c/text%3e%3c/svg%3e)
-
De MCP Client vraagt resources op van de MCP Server bij
https://github-tools.com. Omdat de gebruiker nog niet is ingelogd, bevat de HTTP-authorization header van dit verzoek geen access token. -
De MCP Server ziet dat het authorisatie header van het MCP Client verzoek geen access token bevat. Hij retourneert een HTTP 401 fout aan de MCP Client. Dit foutbericht bevat een WWW-Authenticate header met daarin de URL naar de resource metadata van de MCP Server (de waarde van het
resource_metadataveld). -
De MCP Client haalt de waarde van
resource_metadatauit de teruggegeven WWW-Authenticate header (bv.https://github-tools.com/.well-known/oauth-protected-resource) en vraagt de resource metadata op die de MCP Server als Resource Server aanbiedt. Deze metadata bevat zaken alsauthorization_serversenscopes_supported, en geeft de MCP Client inzicht in hoe en van welke authorization server een token met bepaalde rechten gehaald kan worden.
4-8. De MCP Client vraagt volgens de metadata van de authorization server de server metadata op, waarna een OAuth 2.1 autorisatieflow plaatsvindt met de authorization server en de client uiteindelijk een access token ontvangt.
-
De MCP Client stuurt het verkregen access token mee met een nieuw resourceverzoek aan de MCP Server.
-
De MCP Server retourneert na controle van het token de gevraagde resource. Vanaf dan verloopt alle communicatie tussen MCP Client en MCP Server met een geldig token.
Hierna leggen we stap voor stap uit hoe je het authenticatiemechanisme van je MCP Server volgens de workflow implementeert.
Ongeautoriseerde verzoeken afhandelen: 401 fout en WWW-Authenticate header retourneren
Zoals in het bovenstaande proces, als de MCP Client een verzoek zonder access token naar de MCP Server stuurt, retourneert de MCP Server een HTTP 401 Unauthorized fout met een WWW-Authenticate header die de URL van de MCP Server resource metadata bevat.
Volgens de foutafhandeling in de MCP authenticatiespecificatie, moet de MCP Server niet alleen een 401 fout retourneren bij verzoeken zonder access token, maar ook als het access token ongeldig is, samen met een WWW-Authenticate header.
Nu we weten wanneer we een 401 fout moeten retourneren, hoe bouwen we dan de juiste WWW-Authenticate header?
Volgens RFC9728 Sectie 5.1, moet de WWW-Authenticate header een resource_metadata parameter bevatten die verwijst naar de URL van de beschermde resource metadata.
Het basisformaat is:
Hier geeft Bearer het type authentication scheme aan, namelijk dat voor toegang tot OAuth 2.0-gereserveerde resources een bearer token vereist is (zie: MDN documentatie). De waarde van de resource_metadata parameter is de volledige URL van het metadata-endpoint dat je MCP Server levert.
De daadwerkelijke implementatie kan er zo uitzien:
Wanneer de MCP Client zo’n 401 fout ontvangt, zal hij via de resource_metadata uit de WWW-Authenticate header de resource metadata van de MCP Server benaderen. Daarna initieert hij, op basis van deze informatie, een autorisatieverzoek aan de opgegeven authorization server voor een geldig access token.
We weten nu wanneer we een 401 fout en een resource_metadata URL moeten teruggeven. Maar hoe maak je zo’n resource metadata URL en wat hoort er in die metadata te staan? Dat volgt hierna.
Mechanisme voor resource metadata discovery implementeren
Volgens de MCP authenticatieworkflow vraagt de MCP Client na ontvangst van een 401 fout direct de resource metadata bij de MCP Server op. De MCP Server dient als Resource Server een resource metadata discoverymechanisme te bieden.
URL-pad van het metadata-endpoint bepalen
In het OAuth-systeem worden URLs gebruikt om resources aan te duiden. Deze adressering heet een "resource indicator". Volgens RFC9728 moet resource metadata onder het specifieke pad /.well-known worden geplaatst.
Als je MCP Server (zoals https://github-tools.com) maar één dienst biedt, moet het metadata-endpoint zijn:
Als je meerdere verschillende MCP services op één host hebt, krijgt elke service een eigen metadata-endpoint. Bijvoorbeeld bij het platform https://api.acme-corp.com:
https://api.acme-corp.com/github- GitHub integratiediensthttps://api.acme-corp.com/slack- Slack integratiediensthttps://api.acme-corp.com/database- Database querydienst
Worden de metadata-endpoints:
https://api.acme-corp.com/.well-known/oauth-protected-resource/githubhttps://api.acme-corp.com/.well-known/oauth-protected-resource/slackhttps://api.acme-corp.com/.well-known/oauth-protected-resource/database
Het voordeel is dat elke service eigen permissies en authorization server instellingen kan hebben, bijvoorbeeld:
- GitHub dienst gebruikt de GitHub OAuth server en vereist
github:read,github:write - Slack via Slack OAuth server met
slack:channels:read,slack:messages:write - Database via interne authorisatieserver met
db:query
Samengevat volgen de endpoints dit patroon:
Zo kun je bijvoorbeeld uit een resource indicator het metadata endpoint bepalen:
Resource metadata response samenstellen
Na het bepalen van het endpoint, moet deze een JSON responstype retourneren volgens RFC9728.
In de praktijk concentreren we ons voornamelijk op vier kernvelden.
Het eerste is het resource veld, dit is de resource identifier en moet overeenkomen met het resource-adres dat de MCP Client wil benaderen.
Dan het authorization_servers veld, een array die specificeert bij welke authorization server(s) een access token gevraagd moet worden. Volgens RFC 9728 is dit veld optioneel, maar volgens MCP authenticatiespecificatie verplicht, zodat de MCP Client altijd weet bij welke server een token aangevraagd moet worden. Zonder deze info kan de MCP Client niet verder in de OAuth flow.
Vervolgens het scopes_supported veld, waarin alle door deze Resource Server ondersteunde permissies bekend worden gemaakt.
Tot slot het bearer_methods_supported veld, waarmee je MCP Client weet op welke manier een access token aangeboden moet worden. In actuele praktijk zetten we dit op ["header"], zodat een access token via de HTTP Authorization header wordt gestuurd na autorisatie.
Een concreet voorbeeld voor de resource metadata voor https://github-tools.com:
Hiermee geef je de MCP Client enkele belangrijke aanwijzingen: hij wil de resource https://github-tools.com benaderen, heeft een token van https://auth.github-tools.com nodig met eventueel rechten als github:read, github:write of repo:admin, en moet het token via de HTTP Authorization header versturen.
Voor de meeste situaties voldoen deze vier velden. In bijzondere gevallen kun je alle velden uit RFC9728 raadplegen.
Access tokens valideren
Nadat de MCP Client een access token van de authorization server heeft ontvangen, stuurt de Client dit token mee voor toegang tot de MCP Server.
Let als volgt op bij het valideren van access tokens in de MCP Server:
- Voer basis tokenvalidatie altijd uit aan de hand van de configuratie van de MCP Server, niet automatisch op info uit het token zelf.
- Controleer of de audience van het token overeenkomt met de eigen server, zodat het token specifiek voor deze resource bedoeld is.
- Controleer permissies (scopes) correct.
Gebruik configuratie van MCP Server voor access token validatie
Als een access token wordt ontvangen, zal het token altijd de authorization server info (issuer) bevatten. Sommige ontwikkelaars halen direct op basis van de issuer uit het token informatie om het token te valideren. Zeker als er meerdere authorization servers zijn geconfigureerd, zoals in:
In dat geval nemen sommige developers gewoon de issuer uit een (onbevestigd) token en gebruiken dit voor de validatie. Maar een aanvaller kan een eigen valse authorization server en fake access token opzetten. Als je alleen op de issuer uit het token afgaat, kan de aanvaller via zijn eigen server tokens goedkeuren!
De juiste werkwijze is:
- Bij één authorization server: valideer altijd op de in de backend geconfigureerde authorization server
- Bij meerdere authorization servers: haal de (onbevestigde)
issueruit het token, maar check of deze in je eigen lijst van toegestane authorization servers staat. Is dit niet zo? Token weigeren!
Zorg bij validatie altijd voor strikte controle op issuer.
Met de jose JWT-bibliotheek ziet dat er zo uit:
Audience van token controleren
De sectie Token Audience Binding and Validation schrijft voor dat de client bij het aanvragen van een access token bij de authorization server het doelresource (de audience) moet opgeven waarvoor het token zal worden gebruikt. De MCP Server moet vervolgens controleren of de audience in het token overeenkomt met de eigen resource identifier.
Dit mechanisme steunt op Resource Indicators for OAuth 2.0 (RFC 8707):
- Client vraagt access token met
resourceparameter (bijv.https://github-tools.com) - Authorization server bindt deze resource aan het access token, bij JWT’s als het
audience(aud) attribuut - MCP Server moet bij validatie controleren of het
audienceveld uit het token exact overeenkomt met de eigen resource
Voorbeeld voor https://github-tools.com:
Deze audience validatie is essentieel om tokenmisbruik te voorkomen. Zonder deze controle kunnen tokens die voor andere services zijn uitgegeven mogelijk worden gebruikt op jouw MCP Server.
Scope validatie
Sommige MCP Servers beheren intern verschillende resources met verschillende permissies per gebruiker.
Zodra het access token geldig is, moet je controleren of het token de juiste scopes (rechten) bevat. Dit doe je door na te gaan of het scope veld het vereiste recht omvat:
Volgens de MCP authenticatiespecificatie moet je bij onvoldoende scope een 403 Forbidden fout retourneren.
Conclusie
Na het lezen van dit artikel kun je authenticatie in je eigen MCP Server volgens de nieuwste specificaties implementeren. Let daarbij herhaaldelijk op: valideer tokens strikt, configureer je metadata correct en check altijd de audience.
Ben je bezig met een MCP Server, probeer dan de MCP Auth bibliotheek. Die implementeert alle besproken functionaliteit zodat je snel kunt integreren.
Vragen? Bespreek ze gerust op GitHub. Laten we samen het MCP ecosystem verder verbeteren.