>_Skillful
Need help with advanced AI agent engineering?Contact FirmAdapt
All Posts

أنماط مصادقة MCP: OAuth ومفاتيح API وإدارة الرموز

خوادم MCP التي تتصل بخدمات خارجية تحتاج إلى مصادقة. وأنماط معالجة تدفّقات OAuth ومفاتيح API وتجديد الرموز ضمن MCP لا تزال في طور التطوّر.

April 25, 2026Basel Ismail
mcp authentication security technical

تحدّي المصادقة

يحتاج خادم MCP الذي يتصل بـ GitHub أو Slack أو مزوّد سحابي إلى بيانات اعتماد. ويجب تخزين هذه البيانات بأمان، ونقلها بسلام، وتجديدها عند انتهاء صلاحيتها. وإصابة هذا الجانب أمر حيوي؛ لأن بيانات اعتماد مخترَقة تمنح المهاجمين وصولًا إلى أيّما خدمة يتصل بها خادم MCP.

بروتوكول MCP لا يفرض آلية مصادقة بعينها. وهذه المرونة تتيح لمطوّري الخوادم اختيار النهج الأنسب لحالة استخدامهم، لكنها تعني أنه لا توجد طريقة موحَّدة للتعامل مع المصادقة عبر الخوادم.

نمط مفتاح API

أبسط أنماط المصادقة هو تمرير مفتاح API إلى خادم MCP عبر متغيّرات البيئة. يقرأ الخادم المفتاح عند الإقلاع ويُدرجه في الطلبات إلى الخدمة الخارجية. ويعمل ذلك جيدًا للخدمات ذات مفاتيح API الثابتة طويلة الأمد.

تكمن الميزة في البساطة. اضبط متغيّر بيئة، وشغِّل الخادم، فتعمل المصادقة. أما العيب فهو أن مفاتيح API المخزَّنة في متغيّرات البيئة قد تنكشف عبر قوائم العمليات أو ملفات السجلّات أو تسرّبات ملفات الإعداد. لذلك، استخدم ملفات متغيّرات البيئة (مثل .env) مع أذونات ملفات مناسبة بدلًا من ضبط المتغيّرات مباشرة في الصدفة.

نمط تدفّق OAuth

الخدمات التي تستخدم OAuth (مثل Google وMicrosoft وSlack وGitHub) تتطلّب تدفّق مصادقة أكثر تعقيدًا. إذ يحتاج المستخدم إلى تفويض خادم MCP بالوصول إلى حسابه، وهو ما يتضمّن إعادة التوجيه إلى صفحة تفويض الخدمة، ومنح الإذن، واستلام رمز وصول.

تتعامل بعض خوادم MCP مع ذلك بإطلاق خادم ويب محلي خلال تدفّق التفويض. يفتح المستخدم رابطًا، ويمنح الإذن، وتُرسل إعادة التوجيه الرمزَ مرةً أخرى إلى الخادم المحلي. وهذا التدفّق سهل على المستخدم، لكنه يتطلّب من خادم MCP أن يتضمّن قدرات خادم HTTP لخطوة المصادقة.

وتستخدم خوادم أخرى أداة تفويض منفصلة يشغّلها المستخدم مرّةً للحصول على الرموز، ثم تُخزَّن محليًا ويستخدمها خادم MCP. وهذا يفصل اهتمام المصادقة عن خادم MCP نفسه، لكنه يضيف خطوة إعداد إضافية.

تجديد الرمز

تنتهي صلاحية رموز وصول OAuth. وعند ذلك، يحتاج خادم MCP إلى استخدام رمز تجديد للحصول على رمز وصول جديد دون إلزام المستخدم بإعادة التفويض. وتنفيذ تجديد الرمز تنفيذًا صحيحًا أمر مهم لخوادم MCP طويلة العمل التي تحتاج إلى وصول دون انقطاع إلى الخدمات الخارجية.

من المشكلات الشائعة: عدم التعامل مع تجديد الرمز إطلاقًا (يتوقّف الخادم عن العمل عند انتهاء صلاحية الرمز)، وتجديد الرموز دون الإبقاء على الرموز الجديدة (مما يستلزم إعادة التفويض بعد إعادة تشغيل الخادم)، وحالات السباق حين تُحفّز طلبات متعدّدة عمليات تجديد متزامنة للرمز.

أفضل ممارسات الأمان

لا تكتب بيانات الاعتماد في شيفرة مصدر خادم MCP أبدًا. قد يبدو هذا بدهيًا، لكنه يحدث بتواتر يستحقّ الذكر. فبيانات الاعتماد في الشيفرة المصدرية قد تُلتزَم في إدارة الإصدارات، وتُتشارَك عبر مراجعات الشيفرة، وتنكشف عبر الوصول إلى المستودع.

استخدم أضيق النطاقات الممكنة عند ضبط وصول OAuth. فإذا كان خادم MCP لا يحتاج إلا إلى قراءة البريد، فلا تطلب إذن إرسال البريد. وتقييد النطاقات يحدّ من الضرر إن اختُرق الخادم، أو إن حاول هجوم حقن موجه إساءة استخدام قدرات الخادم.

خزِّن الرموز في مواضع آمنة. فالتكامل مع Keychain (في macOS)، أو مدير بيانات الاعتماد (في Windows)، أو ملفات مشفَّرة بأذونات مقيَّدة (في Linux)، كلّها أفضل من الملفات النصية الصريحة. وتدعم بعض خوادم MCP هذه الواجهات الخلفية للتخزين الآمن؛ راجع الوثائق قبل الرجوع إلى بدائل أقل أمانًا.

قراءات ذات صلة

تصفّح خوادم MCP على Skillful.sh. ابحث عن عمليات دمج موثَّقة.

Back to all posts