Авторизация OAuth
Помимо статических MCP-ключей сервер поддерживает OAuth 2.1 — браузерный вход, как у Linear или Google Drive. Клиент сам открывает браузер, вы подтверждаете доступ на странице согласия — и подключение готово. Ручной ключ копировать и хранить не нужно.
Как это работает
Всё согласование берёт на себя MCP-клиент — вручную ничего настраивать не нужно:
- Клиент обращается к
https://gptunnel.ru/mcpбез токена и получает401с указателем на discovery-метаданные. - По ним клиент сам регистрируется (Dynamic Client Registration, RFC 7591) и открывает в браузере страницу согласия.
- Вы входите в аккаунт GPTunneL (если ещё не вошли) и видите, какие права запрашивает клиент. Нажимаете Разрешить.
- Клиент получает токены (access + refresh) и подключается. Дальше он сам обновляет доступ по refresh-токену — повторно входить не нужно.
Всё построено на PKCE (S256), публичных клиентах без секрета и одноразовых кодах — токены не хранятся в открытом виде и не передаются в конфиге.
Подключение
В большинстве клиентов достаточно указать URL сервера без заголовка
Authorization — при первом обращении откроется браузер. Пример для Claude Code:
claude mcp add gptunnel --transport http https://gptunnel.ru/mcpПодробные конфигурации для Claude Desktop, Cursor и собственного агента — на странице Подключение клиентов.
Права (scopes)
На экране согласия показываются только те права, которые реально будут выданы вашему аккаунту: запрошенный клиентом набор пересекается с вашими привилегиями. Обычному пользователю выдаются права на воркфлоу; административные scopes доступны только аккаунтам с соответствующими привилегиями. Полный список прав — на странице MCP-ключи.
Discovery-эндпоинты
Клиенты находят их автоматически; приведены для отладки собственных интеграций.
OAuth 2.1
| Параметр | Тип | Описание |
|---|---|---|
/.well-known/oauth-protected-resource/mcp | GET | Метаданные защищённого ресурса (RFC 9728): где авторизоваться |
/.well-known/oauth-authorization-server | GET | Метаданные Authorization Server (RFC 8414) |
/mcp/oauth/register | POST | Динамическая регистрация клиента (RFC 7591) |
/mcp/oauth/authorize | GET | Старт авторизации → редирект на экран согласия |
/mcp/oauth/token | POST | Обмен кода на токены и обновление по refresh-токену |
/mcp/oauth/revoke | POST | Отзыв токена (RFC 7009) |