OAuth-Consent und Refresh-Verhalten
Erwarteter Lebenszyklus
- Client entdeckt OAuth-Metadaten vom MCP-Endpoint.
- Benutzer schließt Browser-Zustimmung ab.
- Client speichert Access-Token und Refresh-Token.
- Client erneuert Access-Token vor/bei Ablauf.
- Benutzer wird nur erneut aufgefordert, wenn Refresh fehlschlägt oder Zustimmung widerrufen wurde.
Was sollte automatisch sein
- Access-Token-Erneuerung ohne zusätzliche Benutzerinteraktion.
- Wiederholung fehlgeschlagener Aufrufe nach erfolgreicher Erneuerung.
- Stabile Sitzung über lang laufende Agent-Workflows.
Anzeichen eines Bugs
- Re-Auth trotz aktiver Nutzung zu häufig erforderlich.
- Refresh erfolgreich, aber nachfolgende Tool-Aufrufe verwenden immer noch abgelaufenen Token.
- Verschiedene Clients verhalten sich inkonsistent gegenüber demselben Server.
Verifizierungs-Prompt
Show me authentication state for this MCP connection: whether OAuth is active, whether refresh has recently succeeded, and whether a new consent is required.