OAuth 在模型上下文协议 (MCP) 中用作安全授权层,使外部服务或用户能够在不暴露凭据的情况下授予对资源的有限访问权限。 MCP 管理 AI 模型与外部系统之间的交互,并使用 OAuth 来验证和授权这些交互。例如,如果 MCP 中的 AI 模型需要访问用户来自第三方服务(如 Google Drive)的数据,OAuth 允许用户授予权限,而无需共享他们的 Google 密码。 MCP 充当中间人,从 OAuth 提供商(例如,Google)请求访问令牌,并使用该令牌代表用户检索数据。这确保了凭据保持私密,同时实现了受控访问。
MCP 中的 OAuth 流程通常遵循授权码授予类型。当用户发起需要外部数据的请求时,MCP 会将他们重定向到 OAuth 提供商的登录页面。用户进行身份验证并批准所请求的权限(例如,“对 Drive 的只读访问权限”)后,提供商会将授权码发送回 MCP。然后,MCP 将此代码交换为访问令牌,并可选择交换为刷新令牌。例如,如果 MCP 中的 AI 模型需要分析用户的日历事件,系统将存储访问令牌,并使用它通过提供商的 API(例如,Google 日历 API)获取数据。在 OAuth 设置期间定义的范围限制了 MCP 可以访问的内容,确保模型仅与批准的资源交互。
在 MCP 中使用 OAuth 的主要好处是安全性和可扩展性。令牌的生命周期很短并且可以撤销,从而降低了令牌被盗用的风险。 MCP 还会自动处理令牌刷新周期,从而确保不间断的访问,而无需用户重新身份验证。例如,MCP 中的天气预报模型可能需要来自第三方 API 的实时数据。通过使用 OAuth,MCP 可以安全地管理多个用户或服务的令牌,并遵守他们的个人权限。这种方法简化了开发人员的集成,因为 MCP 抽象了大部分 OAuth 复杂性(如令牌存储和验证),同时保持了对安全最佳实践的遵守。