Przejdź do głównej treści
Zdalny serwer MCP to po prostu endpoint HTTP, na którym twoje agenty wywołują narzędzia — a większość z nich siedzi za tokenem, klientem OAuth lub auth basic. Gdy rejestrujesz ten serwer za bramą MCP Firewalla, wręczasz OrcaRouterowi poświadczenie raz, wybierasz, jak się uwierzytelnia, a brama wstrzykuje je w czasie dyspozycji. Sekret jest szyfrowany w spoczynku i nigdy nie podróżuje do modelu ani twojego kodu agenta. Ta strona pokrywa stronę uwierzytelniania rejestracji serwera: cztery kształty auth_mode i co dzieje się z twoim poświadczeniem. Po wszystko, co brama robi z każdym tools/call po nawiązaniu połączenia — polityka per wywołanie, przestrzenie nazw, ochrona SSRF — zobacz referencję bramy MCP.

1. Dlaczego uwierzytelniać przy bramie

Bez bramy każdy agent, który rozmawia z serwerem MCP, nosi własną kopię tokenu tego serwera, rozproszoną po konfiguracjach i promptach. Skieruj serwer przez OrcaRouter, a poświadczenie żyje w dokładnie jednym miejscu:
  • Jeden przechowywany sekret per serwer. Rejestrujesz poświadczenie raz, w rekordzie przestrzeni roboczej. Agenty łączą się z bramą kluczem OrcaRouter — nigdy nie widzą tokenu serwera upstream.
  • Zaszyfrowane w spoczynku, maskowane przy odczycie. Poświadczenie jest szyfrowane przy przechowywaniu. Za każdym razem, gdy odczytujesz serwer z powrotem przez konsolę lub SDK, sekret wraca zamaskowany — nie ma API, które zwraca go w postaci jawnej.
  • Wstrzykiwane przy dyspozycji. Brama odszyfrowuje poświadczenie tylko w chwili, gdy przesyła tools/call do prawdziwego serwera, potem dołącza je do tego wychodzącego żądania. Nigdy nie jest odsyłane do modelu ani klienta.
Poświadczenie, którego nie możesz odczytać z powrotem, to funkcja, nie luka. Ponieważ odczyty są zawsze maskowane, wyciekła sesja konsoli lub token SDK nie może wyeksfiltrować sekretów twojego serwera MCP — może je tylko przekierować lub rotować.

2. Wybierz auth_mode

Każda rejestracja serwera niesie auth_mode. To zamknięty zestaw czterech wartości, i decyduje o kształcie poświadczenia, które dostarczasz w auth_json:
Serwer jest otwarty (lub ufa bramie po sieci). Pozostaw auth_json puste. To wartość domyślna, gdy nie ustawisz auth_mode.
Najczęstszy przypadek dla hostowanych serwerów MCP. Dostarcz jeden token; brama wysyła go jako poświadczenie bearer przy każdym wywołaniu.
{ "token": "ghp_…" }
Dla serwerów chronionych OAuth. Dostarcz access_token, który już wybiłeś; brama wysyła go jako poświadczenie bearer, dokładnie jak bearer. Automatyczna wymiana client-credentials (zamiana client_id/client_secret na świeży token) nie jest jeszcze dostępna — rejestracja oauth bez access_token jest odrzucana.
{ "access_token": "…" }
HTTP basic auth.
{ "username": "…", "password": "…" }
auth_json jest wymagany zawsze, gdy auth_mode jest czymkolwiek innym niż none. Rejestracja serwera bearer/oauth/basic z pustym poświadczeniem jest odrzucana — brama nie utrwali na wpół skonfigurowanego połączenia.

3. Zarejestruj bezpieczny serwer MCP — jeden przykład

Rejestracja serwera MCP to akcja konsoli: działa pod twoim tokenem sesji / dostępu wobec /api/workspace/firewall/mcp_servers, a zapis serwera wymaga roli Developer+. (To różni się od klucza relay sk-orca-…, którego używasz do wywołań modelu /v1/* — ten klucz nigdy nie zarządza konfiguracją przestrzeni roboczej.) Zarejestruj serwer z auth bearer z konsoli firewalla lub bezpośrednio swoim tokenem sesji: 
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-session-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}",
    "enabled": true
  }'
name jest unikalna per przestrzeń robocza (duplikat zwraca HTTP 409) i nie może zawierać . — ten znak tworzy przestrzeń nazw narzędzi jako <server>.<tool>. Po drodze do środka OrcaRouter szyfruje auth_json i przechowuje tylko szyfrogram. Gdy odczytujesz serwer z powrotem, dostajesz zamaskowaną formę.
Odeślij zamaskowaną wartość prosto z powrotem przy aktualizacji, aby zachować przechowywany sekret niezmieniony — wyślij prawdziwy auth_json tylko wtedy, gdy faktycznie chcesz go rotować. Zobacz rotacja poświadczeń dla przepływu rotacji.

4. Udowodnij, że połączenie działa

Uwierzytelnianie nie jest skończone, dopóki brama nie potrafi faktycznie dosięgnąć serwera z poświadczeniem, które przechowałeś. Zasonduj go: 
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-session-token>"
Brama łączy się z endpointem przy użyciu odszyfrowanego poświadczenia, listuje narzędzia serwera i rejestruje status osiągalności:
statusZnaczenie
okOsiągnięty i uwierzytelniony; narzędzia odkryte.
degradedOsiągalny, ale nie w pełni zdrowy.
downNie udało się połączyć ani uwierzytelnić.
Wynik down zaraz po rejestracji prawie zawsze oznacza złe poświadczenie lub nieprawidłowy auth_mode — popraw auth_json i zasonduj ponownie. Sondowanie to akcja Developer+; dołączony serwer in-process nie ma endpointu i nie jest sondowalny.
Wyłączony serwer to czysty przełącznik wyłączający: jego narzędzia znikają z bramy, a jego poświadczenie nigdy nie jest odszyfrowywane. Wyłącz serwer, podczas gdy porządkujesz jego auth, potem włącz ponownie, gdy sondowanie wróci ok.

5. Odczyt serwerów z agenta

Twoje agenty nie odczytują poświadczeń. Gdy proxy SDK potrzebuje rejestru czasu wykonania, wywołuje GET /api/v1/firewall/mcp_servers z kluczem w zakresie firewall-gateway — dedykowanym kluczem, nie twoim kluczem relay i nie twoją sesją. Ta ścieżka serwuje tylko włączone serwery, a brama nadal posiada wstrzykiwanie poświadczeń od początku do końca. Łączenie agenta z ujednoliconym endpointem MCP jest pokryte w referencji bramy.

6. Dokąd dalej

Połącz swój pierwszy serwer

Pełny krok-po-kroku rejestracji, od pustej przestrzeni roboczej do żywego narzędzia.

Rotuj poświadczenia

Wymień wyciekły lub wygasający sekret bez zrywania połączenia.

Lista dozwolonych narzędzi MCP

Zdecyduj, które z narzędzi serwera twoje agenty faktycznie mogą wywoływać.

Ogranicz egress

Ogranicz, dokąd narzędzia serwera mogą sięgać w sieci.
Po koncepcje stojące za tym — jak brama siedzi w ścieżce żądania i dlaczego poświadczenia nigdy nie dotykają modelu — zobacz Jak OrcaRouter inspekcjonuje i Zabezpieczanie agentów AI. Po zagrożenia, które to zamyka, zobacz Zatruwanie narzędzi MCP i eksfiltrację danych.