NestJS MCP Server

oauth-flow-sequence.md•10.7 KiB

# MCP HTTP認証フローのシーケンス図 ## シナリオ1: 初回接続 - OAuth 2.1 Authorization Code + PKCE フロー ```mermaid sequenceDiagram participant User as ユーザー participant Client as MCPクライアント (Claude Desktop等) participant Browser as ブラウザ participant MCPServer as MCPサーバー (リソースサーバー) participant AuthServer as 認証サーバー (同一サーバー) participant Provider as 外部プロバイダー (GitHub/Google等) Note over User,Provider: 1. Discovery & Client Registration Client->>MCPServer: GET /.well-known/oauth-protected-resource MCPServer-->>Client: authorization_servers, scopes_supported, etc. Client->>AuthServer: GET /.well-known/oauth-authorization-server AuthServer-->>Client: authorization_endpoint, token_endpoint, etc. Client->>AuthServer: POST /oauth/register (Dynamic Client Registration) Note right of Client: { client_name: "Claude Desktop", redirect_uris: ["http://localhost:3000/callback"], token_endpoint_auth_method: "none" } AuthServer-->>Client: client_id, client_secret (if applicable) Note over User,Provider: 2. Authorization Request User->>Client: MCPツールを使おうとする Client->>Client: PKCEパラメータ生成 (code_verifier, code_challenge) Client->>Browser: ブラウザを開いてリダイレクト Browser->>AuthServer: GET /oauth/authorize? response_type=code& client_id=xxx& redirect_uri=http://localhost:3000/callback& code_challenge=yyy& code_challenge_method=S256& scope=mcp:tools:read mcp:tools:execute& state=zzz Note over AuthServer: セッション作成 code_challengeを保存 AuthServer-->>Browser: Set-Cookie: oauth_session=session_id Redirect to /login Note over User,Provider: 3. User Authentication Browser->>AuthServer: GET /login AuthServer-->>Browser: ログイン画面表示 User->>Browser: "GitHubでログイン"をクリック Browser->>AuthServer: POST /oauth/authorize (consent) AuthServer->>Provider: Redirect to GitHub OAuth Provider-->>Browser: GitHubログイン画面 User->>Browser: GitHub認証情報を入力 Browser->>Provider: ログイン Provider-->>Browser: 認証成功 Browser->>AuthServer: GET /oauth/callback?code=github_code&state=xxx AuthServer->>Provider: POST /token (exchange GitHub code) Provider-->>AuthServer: access_token, user_profile Note over AuthServer: ユーザープロファイル保存 認可コード生成 AuthServer-->>Browser: Redirect to redirect_uri? code=authorization_code&state=zzz Note over User,Provider: 4. Token Exchange Browser->>Client: http://localhost:3000/callback? code=authorization_code&state=zzz Client->>Client: stateを検証 Client->>AuthServer: POST /oauth/token Note right of Client: { grant_type: "authorization_code", code: "authorization_code", redirect_uri: "http://localhost:3000/callback", code_verifier: "original_verifier", client_id: "xxx" } Note over AuthServer: PKCE検証: SHA256(code_verifier) == code_challenge 認可コード検証・削除 AuthServer-->>Client: { access_token: "eyJhbGc...", token_type: "Bearer", expires_in: 3600, refresh_token: "eyJhbGc...", scope: "mcp:tools:read mcp:tools:execute" } Note over Client: トークンを安全に保存 Note over User,Provider: 5. MCP Tool Call (Authenticated) User->>Client: "GitHubのデプロイ頻度を教えて" Client->>MCPServer: POST /mcp/messages Authorization: Bearer eyJhbGc... Content-Type: application/json Note right of Client: { jsonrpc: "2.0", method: "tools/call", params: { name: "deployment_frequency", arguments: {...} } } Note over MCPServer: JWT検証 - 署名検証 - 有効期限チェック - audienceチェック - scopeチェック MCPServer->>MCPServer: ツール実行 MCPServer-->>Client: { jsonrpc: "2.0", result: { content: [{ type: "text", text: "デプロイ頻度: 15回/日" }] } } Client-->>User: 結果を表示 ``` ## シナリオ2: トークン期限切れ - Refresh Token フロー ```mermaid sequenceDiagram participant User as ユーザー participant Client as MCPクライアント participant MCPServer as MCPサーバー participant AuthServer as 認証サーバー Note over User,AuthServer: Access Tokenが期限切れ User->>Client: MCPツールを使おうとする Client->>MCPServer: POST /mcp/messages Authorization: Bearer <expired_token> Note over MCPServer: JWT検証失敗 (有効期限切れ) MCPServer-->>Client: HTTP 401 Unauthorized WWW-Authenticate: Bearer error="invalid_token", error_description="The access token expired" Note over Client: Refresh Tokenを使って 新しいAccess Tokenを取得 Client->>AuthServer: POST /oauth/token Note right of Client: { grant_type: "refresh_token", refresh_token: "eyJhbGc...", client_id: "xxx" } Note over AuthServer: Refresh Token検証 - 署名検証 - 有効期限チェック - client_idチェック AuthServer-->>Client: { access_token: "eyJhbGc... (new)", token_type: "Bearer", expires_in: 3600, refresh_token: "eyJhbGc... (new)", scope: "mcp:tools:read mcp:tools:execute" } Note over Client: 新しいトークンを保存 Client->>MCPServer: POST /mcp/messages Authorization: Bearer <new_token> MCPServer->>MCPServer: JWT検証成功 ツール実行 MCPServer-->>Client: 結果を返す Client-->>User: 結果を表示 ``` ## シナリオ3: 権限不足 - Insufficient Scope エラー ```mermaid sequenceDiagram participant User as ユーザー participant Client as MCPクライアント participant MCPServer as MCPサーバー participant AuthServer as 認証サーバー participant Browser as ブラウザ Note over User,Browser: 現在のトークンは scope: "mcp:tools:read"のみ User->>Client: "デプロイ頻度を計算して" (書き込み権限が必要) Client->>MCPServer: POST /mcp/messages Authorization: Bearer eyJhbGc... (scope: mcp:tools:read) Note over MCPServer: JWT検証成功 しかしscopeが不足 MCPServer-->>Client: HTTP 403 Forbidden WWW-Authenticate: Bearer error="insufficient_scope", scope="mcp:tools:read mcp:tools:execute" Note over Client: 必要なスコープを認識 再認証が必要 Client->>User: "追加の権限が必要です。 再度認証してください" User->>Client: 承認 Note over Client,Browser: シナリオ1と同じフローで再認証 (今度は必要なscopeを要求) Client->>Browser: Redirect to AuthServer Browser->>AuthServer: GET /oauth/authorize? scope=mcp:tools:read mcp:tools:execute&... Note over AuthServer,Browser: 認証・認可フロー Browser->>Client: callback with new authorization_code Client->>AuthServer: Token exchange AuthServer-->>Client: New tokens with required scopes Client->>MCPServer: POST /mcp/messages Authorization: Bearer <new_token> (scope: mcp:tools:read mcp:tools:execute) MCPServer->>MCPServer: 検証成功・実行 MCPServer-->>Client: 結果 Client-->>User: 結果を表示 ``` ## シナリオ4: SSE (Server-Sent Events) 接続での認証 ```mermaid sequenceDiagram participant User as ユーザー participant Client as MCPクライアント participant MCPServer as MCPサーバー (SSE) Note over User,MCPServer: 既にAccess Tokenを取得済み User->>Client: MCPサーバーに接続 Client->>MCPServer: GET /mcp/sse?sessionId=xxx Authorization: Bearer eyJhbGc... Note over MCPServer: JWT検証 SSEセッション確立 MCPServer-->>Client: HTTP 200 OK Content-Type: text/event-stream event: endpoint data: /mcp/messages Note over Client,MCPServer: SSE接続確立 双方向通信可能 User->>Client: "ツールを実行" Client->>MCPServer: POST /mcp/messages Authorization: Bearer eyJhbGc... Mcp-Session-Id: xxx Note over MCPServer: セッションID検証 JWT検証 ツール実行 MCPServer-->>Client: SSE Event data: {"result": "..."} Client-->>User: 結果を表示 Note over Client,MCPServer: 長時間接続の場合 Note over MCPServer: Access Token期限切れ間近 MCPServer-->>Client: SSE Event event: token_expiring data: {"expires_in": 300} Note over Client: Refresh Tokenで更新 Client->>MCPServer: Token更新 (シナリオ2参照) Note over Client,MCPServer: 接続継続 ``` ## セキュリティのポイント ### 1. PKCE (Proof Key for Code Exchange) - **目的**: 認可コード横取り攻撃の防止 - **仕組み**: - クライアントが`code_verifier`(ランダム文字列)を生成 - `code_challenge = SHA256(code_verifier)`を計算 - 認可リクエスト時に`code_challenge`を送信 - トークン交換時に元の`code_verifier`を送信 - サーバーが`SHA256(code_verifier) == code_challenge`を検証 ### 2. State Parameter - **目的**: CSRF攻撃の防止 - **仕組み**: - クライアントがランダムな`state`を生成 - 認可リクエストに含める - コールバック時に同じ`state`が返ってくることを確認 ### 3. JWT Validation - **署名検証**: トークンが改ざんされていないか - **Issuer検証**: 信頼できる発行者か - **Audience検証**: このMCPサーバー向けのトークンか - **有効期限**: トークンが期限切れでないか - **Scope検証**: 必要な権限を持っているか ### 4. Origin Header Validation - **目的**: DNS rebinding攻撃の防止 - **仕組み**: リクエストの`Origin`ヘッダーが許可されたオリジンか確認 ## トークンのライフサイクル ``` Access Token : 短命 (1時間程度) → 頻繁に検証が必要な操作に使用 Refresh Token : 長命 (30日〜90日程度) → Access Token更新のみに使用 Authorization Code : 超短命 (10分程度) → 1回のみ使用可能 ``` ## 実装の優先順位 1. **必須**: OAuth 2.1 Authorization Code + PKCE フロー 2. **必須**: JWT検証 (署名、有効期限、audience、scope) 3. **必須**: Refresh Token フロー 4. **推奨**: Well-known エンドポイント 5. **推奨**: Dynamic Client Registration 6. **推奨**: Insufficient Scope エラーハンドリング 7. **オプション**: Token Revocation

Loading blob content...

Latest Blog Posts

Redis vs ioredis vs valkey-glide
By punkpeye on January 26, 2026.
benchmark
Redis
valkey
Quickstart: Publish an MCP Server to the MCP Registry
By punkpeye on January 24, 2026.
mcp
official reference mirror
Official MCP Registry Server.json Requirements
By punkpeye on January 24, 2026.
mcp
official reference mirror

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/kaz29/mcp-server-example'

If you have feedback or need assistance with the MCP directory API, please join our Discord server

oauth-flow-sequence.md•10.7 KiB