MCP 2026-07-28 RC版發布:原生集成OAuth 2.1實現AI Agent無狀態通信與跨服務鑒權

想讓 AI Agent 在真實業務里不掉鏈子?別再硬扛會話泄漏、Token 過期、跨服務鑒權失敗了。
MCP 2026-07-28 RC 版發布——不是修修補補,是重寫信任基座。核心就兩條:徹底無狀態通信 + OAuth 2.1 原生集成。
以前 Agent 調用數據庫插件,得自己維護 session ID、刷新 token、校驗 scope;出錯時日志里全是 invalid_context 和 401 on /v3/execute。現在,MCP Server 收到請求只認 Authorization: Bearer <access_token>,且該 token 必須由符合 RFC 9126 的 OAuth 2.1 授權服務器簽發(支持 PKCE、refresh rotation、scope delegation)。插件不用存 session、不碰 cookie、不解析 JWT——它只做一件事:驗證 token 簽名 + 檢查 scope=tool:postgres:write 是否匹配當前操作。
實測效果:
? 龍蝦 CLI 部署的 mcp-server-postgres 插件,啟動后零配置自動接入企業 Auth0 租戶;用戶登錄一次,所有 Agent 調用自帶 RBAC 權限鏈;
? A2A 通信中,agent-a 調用 agent-b 的 /schedule 端點時,MCP 框架自動注入 x-mcp-trust-chain 頭,含上游簽名和時效戳;下游直接驗簽,不查 DB;
? 某電商自動化場景(訂單履約 + 庫存同步 + 發票生成),三 Agent 串聯流程成功率從 83% → 99.2%,運維告警下降 76%——因為不再有“token 過期但 Agent 還在重試”這類幽靈錯誤。
你今天就能跑通:
# 1. 用龍蝦CLI初始化RC兼容Server
yitb mcp init --version 2026-07-28-rc
# 2. 注冊OAuth2.1客戶端(Auth0示例)
curl -X POST https://your-domain.auth0.com/api/v2/clients \
-H "Authorization: Bearer $MGMT_TOKEN" \
-d '{"name":"mcp-prod","app_type":"machine-to-machine","grant_types":["client_credentials","urn:ietf:params:oauth:grant-type:token-exchange"]}'

# 3. 插件只需聲明scope,不用寫鑒權邏輯
# plugin.yaml
permissions:
- tool:inventory:read
- tool:invoice:generate 無狀態 ≠ 無上下文。MCP 用 context_id 替代 session,每個請求帶唯一、可追溯的上下文哈希。審計日志能直接關聯用戶 → Agent → 工具調用全鏈路——這對金融、醫療等強合規場景是剛需。
這版 MCP 不追求“更聰明”,只解決一個事實:90% 的 Agent 項目死在生產環境的權限縫里,而不是模型能力上。
下一步:去 m.nhjb.com.cn/mcp-rc 下載 RC 版 Schema 校驗器,用你的現有插件跑一遍 mcp-validate --strict。5 分鐘內,你會看到哪些地方還在偷偷存 state、硬編碼 token——這些,就是你下個迭代要砍掉的成本。