> ## Documentation Index
> Fetch the complete documentation index at: https://mcp.zhcndoc.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Authorization Charter

> MCP 授权兴趣组的章程。

## Group Type

**兴趣组**

## Mission Statement

授权兴趣组为 MCP 实现者、身份提供商厂商以及安全从业者提供一个场所，用于呈现部署 MCP 客户端和服务器时遇到的真实世界授权挑战。该小组收集用例，记录当前基于 OAuth 2.1 的授权规范中的缺口，并持续孵化已验证的问题，直到其范围足够明确，可以通过标准的 [group-creation process](/community/working-interest-groups#creating-a-working-group) 提议成立一个聚焦的工作组，以推动相应的 [SEPs](/community/sep-guidelines)。

## Scope

### In Scope

* **部署经验报告**：实现者如何将当前授权规范（OAuth 2.1、[RFC 9728](https://www.rfc-editor.org/rfc/rfc9728) Protected Resource Metadata、[RFC 7591](https://www.rfc-editor.org/rfc/rfc7591) Dynamic Client Registration、Client ID Metadata Documents）与真实授权服务器集成，以及它有哪些不足
* **企业身份集成**：连接 MCP 服务器与企业 IdP（Okta、Entra ID、Ping、Keycloak 等）时的需求和摩擦点，包括 SSO、租户隔离和管理员同意流程
* **委托与代理式访问**：当 MCP 客户端通过代理链或工具链行事时，代用户代办令牌交换、下游资源访问、受众限制和同意的用例
* **范围与权限粒度**：MCP 服务器是否以及如何应当公开细粒度范围（按工具、按资源），以及客户端应如何请求和展示这些范围
* **非 HTTP 传输的凭据**：适用于 stdio、WebSocket 以及未来那些 HTTP 授权规范无法直接应用的传输方式的模式
* **客户端身份与注册**：关于动态客户端注册、Client ID Metadata Documents、软件声明和预注册客户端的运营体验
* **威胁建模输入**：整理与授权相关的攻击面（令牌混淆、混淆代理、受众不匹配、重定向处理），为安全最佳实践文档提供依据
* **提议工作组**：当某个问题被验证并且范围明确后，IG 会通过标准的 `#wg-ig-group-creation` 流程提交工作组创建提案；批准权仍归社区版主和核心维护者所有
* **问题陈述与需求**：发布到 GitHub Discussions 的用例目录和建议，供 SEP 作者和工作组使用

### Out of Scope

* **MCP 客户端对终端用户的认证**：宿主应用如何认证其自身用户属于宿主问题，不属于协议问题
* **传输安全（TLS、mTLS、证书处理）**：属于 Transports WG
* **服务器身份、来源和信任信号**：属于 Server Card / Registry 工作
* **终端用户产品配置操作指南**：IG 讨论的是模式，而不是针对单个 IdP 产品的逐步配置。厂商报告的授权服务器可实现或不可实现的约束 *属于* 部署经验的范围
* **具有竞争敏感性或非公开的商业信息**，根据 [MCP Antitrust Policy](/community/antitrust)

### Related Groups

* **[Enterprise-Managed Authorization IG](/community/interest-groups/enterprise-managed-authorization)**: 协调由 Profiles WG 制定的 EMA 扩展的 IdP、客户端和服务器互操作性测试；在此提出的规范变更请求会被转回本组
* **Transports WG**：授权目前是在 HTTP 传输层级规范的；对传输的更改会影响凭据的携带位置
* **Agents WG**：多智能体链中的委托/代表行事访问和同意，与代理式用例高度重叠
* **[Server Card WG](/community/working-groups/server-card) / [Registry](/community/working-groups/registry)**：客户端和服务器身份、发现元数据以及信任建立，与授权服务器和资源服务器如何被定位和验证相交叉
* **SDK Maintainers**：SDK 会发布 auth 客户端实现；IG 的发现应为跨 SDK 的 auth 易用性提供参考

## Leadership

| Role        | Name          | Organization | GitHub                                     | Term    |
| ----------- | ------------- | ------------ | ------------------------------------------ | ------- |
| Facilitator | Aaron Parecki | Okta         | [@aaronpk](https://github.com/aaronpk)     | Initial |
| Facilitator | Darin McAdams | Amazon       | [@D-McAdams](https://github.com/D-McAdams) | Initial |
| Facilitator | Paul Carleton | Anthropic    | [@pcarleton](https://github.com/pcarleton) | Initial |

## Membership

任何人都可加入；加入频道、参加会议或贡献都不需要正式成员资格或审批步骤。

加入 [MCP Contributors Discord](/community/communication#discord) 上的 `#auth-ig` 频道，或在 [GitHub Discussions](https://github.com/modelcontextprotocol/modelcontextprotocol/discussions) 的 Authorization 分类下开启一个讨论串。如果你的主题明显匹配下表中的某个工作组，你可以直接在该 WG 的频道中发帖。会议是开放的，出席可选 —— 通过 Discord 和 GitHub 进行异步参与同样受到重视。

## Operations

| Meeting         | Frequency     | Duration | Purpose                                                                      |
| --------------- | ------------- | -------- | ---------------------------------------------------------------------------- |
| Discussion Call | Every 2 weeks | 45 min   | Use-case sharing, problem triage, WG proposal decisions, implementer reports |

Discord: [#auth-ig](https://discord.com/channels/1358869848138059966/1360835991749001368)

### Working Group Incubation

当某个主题在 GitHub Discussions 中有书面问题陈述，并且在双周电话会议上形成粗略共识（记录在已发布的会议纪要中）时，它就会晋升为一个工作组提案。随后由一位协调人按照标准 WG 创建模板在 `#wg-ig-group-creation` 中提交，并引用该讨论。IG 的职责在提案阶段结束；批准权仍归社区版主和核心维护者所有。

## Deliverables & Success Metrics

IG 会持续孵化问题，直到它们的范围足够明确，然后提议成立聚焦的工作组来推动具体的 SEP。每个新成立的 WG 都维护自己的章程；此列表只是目录，而非替代。IG 负责管理 [modelcontextprotocol/ext-auth](https://github.com/modelcontextprotocol/ext-auth)，各个 WG 通过 PR 在其中提交授权扩展规范。

| Working Group              | Discord                        | Focus                                                                                                               | Status    | Charter |
| -------------------------- | ------------------------------ | ------------------------------------------------------------------------------------------------------------------- | --------- | ------- |
| Client Registration        | `#auth-wg-client-registration` | Dynamic Client Registration、Client ID Metadata Documents、software statements 和预注册客户端工作流                             | Completed | —       |
| Mix-up Protection          | `#auth-wg-mixup-protection`    | 缓解 OAuth 授权服务器混淆和令牌受众混淆攻击                                                                                           | Completed | —       |
| Profiles                   | `#auth-wg-profiles`            | 用于额外授权类型和令牌绑定机制的扩展规范（Client Credentials、Enterprise-Managed Authorization、DPoP、Workload Identity Federation）         | Completed | —       |
| Tool Scopes                | `#auth-wg-tool-scopes`         | 按工具的 OAuth scope 公告、逐步提升授权 / scope challenge，以及客户端侧 scope 累积 —— OAuth scope 字符串模型内的机制                               | Active    | Pending |
| Fine-Grained Authorization | `#auth-wg-fine-grained-authz`  | 超出 scope 字符串之外的授权粒度 —— Rich Authorization Requests ([RFC 9396](https://www.rfc-editor.org/rfc/rfc9396))、修复提示以及多凭据处理 | Active    | Pending |
| Improve DevX               | `#auth-wg-improve-devx`        | 面向构建安全 MCP 客户端和服务器的最佳实践指南与教程，超出规范性标准的范围                                                                             | Completed | —       |

## Changelog

| Date       | Change |
| ---------- | ------ |
| 2026-06-02 | 初始章程   |
