Chuyển đến nội dung chính
Một MCP server từ xa chỉ là một HTTP endpoint mà các agent của bạn gọi tool trên đó — và hầu hết chúng nằm sau một token, một OAuth client, hoặc basic auth. Khi bạn đăng ký server đó phía sau MCP gateway của Firewall, bạn giao cho OrcaRouter credential một lần, chọn cách nó xác thực, và gateway tiêm nó vào lúc dispatch. Secret được mã hóa lúc nghỉ và không bao giờ đi đến mô hình hoặc code agent của bạn. Trang này đề cập phía xác thực của việc đăng ký một server: bốn hình dạng auth_mode và điều gì xảy ra với credential của bạn. Về mọi thứ gateway làm với mỗi tools/call sau khi kết nối đã lên — chính sách theo từng cuộc gọi, namespacing, bảo vệ SSRF — xem MCP gateway reference.

1. Tại sao xác thực tại gateway

Không có một gateway, mỗi agent nói chuyện với một MCP server mang theo bản sao token của server đó của riêng nó, rải rác khắp các config và prompt. Thay vào đó, định tuyến server qua OrcaRouter và credential sống ở đúng một nơi:
  • Một secret được lưu cho mỗi server. Bạn đăng ký credential một lần, trên bản ghi workspace. Các agent kết nối tới gateway với một OrcaRouter key — chúng không bao giờ thấy token của server upstream.
  • Mã hóa lúc nghỉ, masked khi đọc. Credential được mã hóa khi nó được lưu. Mỗi khi bạn đọc lại server qua console hoặc SDK, secret quay lại masked — không có API nào trả về nó dưới dạng rõ.
  • Tiêm vào lúc dispatch. Gateway giải mã credential chỉ vào khoảnh khắc nó chuyển tiếp một tools/call tới server thật, rồi đính nó vào request đi ra đó. Nó không bao giờ được echo trở lại mô hình hoặc client.
Một credential bạn không thể đọc lại là một tính năng, không phải một lỗ hổng. Vì các lần đọc luôn masked, một session console hoặc SDK token bị rò rỉ không thể exfiltrate các secret MCP server của bạn — nó chỉ có thể trỏ lại hoặc xoay vòng chúng.

2. Chọn một auth_mode

Mỗi đăng ký server mang theo một auth_mode. Đó là một tập đóng gồm bốn giá trị, và nó quyết định hình dạng của credential bạn cung cấp trong auth_json:
Server mở (hoặc tin tưởng gateway theo mạng). Để trống auth_json. Đây là mặc định khi bạn không đặt auth_mode.
Trường hợp phổ biến nhất cho các MCP server được host. Cung cấp một token; gateway gửi nó như một bearer credential trên mỗi cuộc gọi.
{ "token": "ghp_…" }
Cho các server được bảo vệ bằng OAuth. Cung cấp một access_token bạn đã phát hành; gateway gửi nó như một bearer credential, đúng như bearer. Việc trao đổi client-credentials tự động (đổi một client_id/client_secret lấy một token mới) chưa khả dụng — một đăng ký oauth không có một access_token bị từ chối.
{ "access_token": "…" }
HTTP basic auth.
{ "username": "…", "password": "…" }
auth_json là bắt buộc mỗi khi auth_mode là bất cứ gì khác none. Việc đăng ký một server bearer/oauth/basic với một credential rỗng bị từ chối — gateway sẽ không persist một kết nối được cấu hình nửa vời.

3. Đăng ký một MCP server an toàn — một ví dụ

Đăng ký MCP server là một hành động console: nó chạy dưới session / access token của bạn đối với /api/workspace/firewall/mcp_servers, và việc ghi một server yêu cầu vai trò Developer+. (Điều này khác với relay key sk-orca-… bạn dùng cho các cuộc gọi mô hình /v1/* — key đó không bao giờ quản lý config workspace.) Đăng ký một server xác thực bearer từ firewall console, hoặc với session token của bạn trực tiếp: 
curl https://api.orcarouter.ai/api/workspace/firewall/mcp_servers \
  -H "Authorization: Bearer <your-session-token>" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "github",
    "endpoint": "https://api.githubcopilot.com/mcp",
    "auth_mode": "bearer",
    "auth_json": "{\"token\":\"ghp_x\"}",
    "enabled": true
  }'
name là duy nhất theo workspace (một trùng lặp trả về HTTP 409), và nó không thể chứa một . — ký tự đó đặt namespace cho các tool thành <server>.<tool>. Trên đường vào, OrcaRouter mã hóa auth_json và chỉ lưu ciphertext. Khi bạn đọc lại server, bạn nhận được dạng masked.
Echo giá trị masked thẳng trở lại trên một update để giữ secret đã lưu không đổi — gửi một auth_json thật chỉ khi bạn thực sự muốn xoay vòng nó. Xem xoay vòng credential để biết luồng xoay vòng.

4. Chứng minh kết nối hoạt động

Việc xác thực chưa xong cho đến khi gateway có thể thực sự tiếp cận server với credential bạn đã lưu. Probe nó: 
curl -X POST \
  https://api.orcarouter.ai/api/workspace/firewall/mcp_servers/42/probe \
  -H "Authorization: Bearer <your-session-token>"
Gateway kết nối tới endpoint dùng credential đã giải mã, liệt kê các tool của server, và ghi lại một status khả năng tiếp cận:
statusÝ nghĩa
okĐã tiếp cận và xác thực; các tool được khám phá.
degradedCó thể tiếp cận nhưng không hoàn toàn khỏe mạnh.
downKhông thể kết nối hoặc xác thực.
Một kết quả down ngay sau khi đăng ký hầu như luôn có nghĩa là một credential tồi hoặc auth_mode sai — sửa auth_json và probe lại. Việc probe là một hành động Developer+; server in-process đóng gói sẵn không có endpoint và không probe được.
Một server bị tắt là công tắc off sạch sẽ: các tool của nó biến mất khỏi gateway và credential của nó không bao giờ được giải mã. Tắt một server trong khi bạn sắp xếp xong auth của nó, rồi bật lại một khi một probe quay lại ok.

5. Đọc các server từ một agent

Các agent của bạn không đọc credential. Khi một SDK proxy cần registry runtime, nó gọi GET /api/v1/firewall/mcp_servers với một key có phạm vi firewall-gateway — một key chuyên dụng, không phải relay key của bạn và không phải session của bạn. Path đó chỉ phục vụ các server đã bật, và gateway vẫn sở hữu việc tiêm credential từ đầu đến cuối. Việc kết nối một agent tới MCP endpoint hợp nhất được đề cập trong gateway reference.

6. Đi đâu tiếp theo

Kết nối server đầu tiên của bạn

Hướng dẫn đăng ký đầy đủ, từ workspace rỗng đến một tool live.

Xoay vòng credential

Đổi một secret bị rò rỉ hoặc sắp hết hạn mà không rớt kết nối.

Allow-list các tool MCP

Quyết định những tool nào của một server mà các agent của bạn thực sự có thể gọi.

Giới hạn egress

Ràng buộc nơi các tool của một server được phép vươn tới trên mạng.
Về các khái niệm đằng sau điều này — cách gateway nằm trong đường đi request và tại sao credential không bao giờ chạm tới mô hình — xem Cách OrcaRouter kiểm traBảo mật AI agent. Về các mối đe dọa điều này đóng lại, xem Đầu độc tool MCPExfiltration dữ liệu.