Перейти к содержимому

Авторизация OAuth

Помимо статических MCP-ключей сервер поддерживает OAuth 2.1 — браузерный вход, как у Linear или Google Drive. Клиент сам открывает браузер, вы подтверждаете доступ на странице согласия — и подключение готово. Ручной ключ копировать и хранить не нужно.

Как это работает

Всё согласование берёт на себя MCP-клиент — вручную ничего настраивать не нужно:

  1. Клиент обращается к https://gptunnel.ru/mcp без токена и получает 401 с указателем на discovery-метаданные.
  2. По ним клиент сам регистрируется (Dynamic Client Registration, RFC 7591) и открывает в браузере страницу согласия.
  3. Вы входите в аккаунт GPTunneL (если ещё не вошли) и видите, какие права запрашивает клиент. Нажимаете Разрешить.
  4. Клиент получает токены (access + refresh) и подключается. Дальше он сам обновляет доступ по refresh-токену — повторно входить не нужно.

Всё построено на PKCE (S256), публичных клиентах без секрета и одноразовых кодах — токены не хранятся в открытом виде и не передаются в конфиге.

Подключение

В большинстве клиентов достаточно указать URL сервера без заголовка Authorization — при первом обращении откроется браузер. Пример для Claude Code:

Окно терминала
claude mcp add gptunnel --transport http https://gptunnel.ru/mcp

Подробные конфигурации для Claude Desktop, Cursor и собственного агента — на странице Подключение клиентов.

Права (scopes)

На экране согласия показываются только те права, которые реально будут выданы вашему аккаунту: запрошенный клиентом набор пересекается с вашими привилегиями. Обычному пользователю выдаются права на воркфлоу; административные scopes доступны только аккаунтам с соответствующими привилегиями. Полный список прав — на странице MCP-ключи.

Discovery-эндпоинты

Клиенты находят их автоматически; приведены для отладки собственных интеграций.

OAuth 2.1

ПараметрТипОписание
/.well-known/oauth-protected-resource/mcpGETМетаданные защищённого ресурса (RFC 9728): где авторизоваться
/.well-known/oauth-authorization-serverGETМетаданные Authorization Server (RFC 8414)
/mcp/oauth/registerPOSTДинамическая регистрация клиента (RFC 7591)
/mcp/oauth/authorizeGETСтарт авторизации → редирект на экран согласия
/mcp/oauth/tokenPOSTОбмен кода на токены и обновление по refresh-токену
/mcp/oauth/revokePOSTОтзыв токена (RFC 7009)