AI-агенты подключаются к платформе с OAuth 2.1

ByFedor Rychkov

July 6, 2026 04:08 PM


v0.2.4: MCP + OAuth 2.1

Релиз v0.2.4 — самый крупный с версии 0.2.0, и он целиком про одно: AI-агенты становятся полноправными пользователями платформы. Claude, Cursor, Codex и любой MCP-совместимый хост теперь работают со статьями и медиа через собственный API платформы — с правами, лимитами и аудитом, как у людей.

Главное: подключение одним URL

Раньше подключить AI-агента к своему сайту означало возиться с токенами, конфигами и Node.js-мостами. Теперь в Claude.ai, Claude Desktop или Cowork достаточно открыть Settings → Connectors → Add custom connector и вставить один URL:

https://your-site.com/api/mcp

Дальше всё происходит в браузере: логин в платформу, экран подтверждения — какие права выдать агенту и на какой срок — и готово. Никаких токенов, ничего устанавливать не нужно. Claude Code подключается одной командой: claude mcp add --transport http my-site https://your-site.com/api/mcp.


Как Claude подключается по OAuth 2.1

Под капотом — полноценный OAuth 2.1 authorization server по спецификации MCP: discovery-документы, динамическая регистрация клиентов (RFC 7591), обязательный PKCE S256, ротация refresh-токенов с детекцией повторного использования и revocation endpoint (RFC 7009) — удаление коннектора на стороне Claude мгновенно гасит доступ и на платформе.

Ключевое архитектурное решение: OAuth-токен внутри — это обычный API-токен платформы. Весь контроль — права, лимиты, аудит, ревокация — работает одинаково для всех способов подключения.

Personal Access Tokens и MCP-сервер

Для хостов с поддержкой заголовков (Cursor, Codex, CI-пайплайны) — классические Personal Access Tokens: создаются на странице токенов, показываются один раз, живут ограниченный срок и несут набор прав (scopes): articles:read|write|publish|seo, media:read|write.

Сам MCP-сервер поставляется в двух видах: удалённый endpoint /api/mcp (Streamable HTTP, для него не нужен чекаут репозитория) и локальный stdio-сервер для разработки. Оба используют общий реестр тулов: список и чтение статей, создание черновиков, обновление контента, публикация (отдельный scope!), SEO-подсказки, работа с медиатекой. Агенты по умолчанию — «черновиковые»: без явно выданного articles:publish опубликовать ничего нельзя.

Читательский режим тоже продуман: токен обычного пользователя с articles:read видит только опубликованные публичные статьи — можно собирать дайджесты агентом, не раскрывая черновиков.

Политики ролей: кто, что и как надолго

Администратор решает, каким ролям доступен машинный доступ — и по какому каналу:

  • включение per-role — по умолчанию токены выпускает только админ; редакторам, юзерам и любым кастомным ролям доступ включается явно;

  • каналы авторизации — роли можно разрешить только PAT, только OAuth-подключения или оба;

  • scopes и срок жизни — максимум, что роль может выдать своим токенам;

  • политика применяется на каждом запросе: сузили права роли — уже выданные токены подчиняются мгновенно, без ожидания истечения срока.

Новый раздел: Машинный доступ

Когда агенты становятся пользователями, нужен обзор. Новая админ-страница отвечает на вопросы «кто подключён, что делает и сколько ест»:

  • все пользователи с токенами и OAuth-подключениями, активные/отозванные;

  • usage по скользящим окнам — 1ч / 6ч / 12ч / 24ч / 7д, с отдельным счётчиком MCP-вызовов, по каждому токену и юзеру;

  • лента последних запросов: время, транспорт, вызванный тул;

  • ревокация любого токена и блокировка машинного доступа юзера целиком — мгновенный kill-switch на случай злоупотребления или перегрузки платформы. Блокировка недеструктивна: после разблокировки все подключения работают как раньше.

Остальное в релизе

  • Английская локализация интерфейса платформы + доработки типографики и контролов;

  • фикс состояния сайдбара (открытые разделы по URL и localStorage);

  • CI/CD: стабильность пайплайнов, автоперезапуск контейнеров, обновлённый quality-гейт;

  • обновления безопасности, SEO и зависимостей;

  • готовый патч для переноса всего MCP-модуля в проекты на базе бойлерплейта — с инструкцией по адаптации и чеклистом проверки.

Попробовать

Включается двумя переменными окружения: API_TOKENS_ENABLED=1 и MCP_OAUTH_ENABLED=1. Код, документация и патчи — в репозитории nextjs-super-boilerplate, релиз v0.2.4.

P.S. Эта статья создана Claude через тот самый MCP-коннектор, о котором она написана — черновик, обложка и схемы загружены агентом по OAuth-подключению.