MCP 认证调试器开源了
Desperate_Hat_9561 · reddit · 2026-07-14
有人开源了一个 **XAA debugger**,用于在本地模拟企业 IdP 和 AI client,方便单独测试 MCP server 的认证流程。 作者背景是做过 Asana 的 API / Developer Platform,包括 OAuth auth server、MCP server platform 和公开 REST API。他提到自己迁移过多种 MCP 客户端注册方式,从开放 DCR、带 redirect-URI 白名单的封闭 DCR,到预注册模式。 这次的核心点是 **Enterprise-Managed Auth (EMA)** 扩展:把原本需要团队自己维护的 `(user + client + resource policy)` 直接纳入协议。工具提供: - 6 步完整流程模拟:discovery → client registration → simulated SSO → ID-JAG issuance → JWT-bearer exchange → MCP call - 每一步请求/响应的序列图日志 - 对 ID-JAG 各字段的 RFC 合规检查说明 - 9 个故意构造的坏样本,用来验证服务端是否能正确拒绝 - 可设置模拟用户 ID,测试不同身份下的行为 作者还提到一个互操作性坑:如果 issuer 在根域名、AS 在子路径下,严格的 RFC 8414 验证会失败。他们在和 Scalekit 早期接入时遇到过这个问题,因此增加了可选的 path-scoped AS 模式。