Autorización Segura por Defecto para Servidores MCP impulsados por ToolHive

ToolHive es una solución que ayuda a controlar quién puede invocar qué en servidores MCP, separando la autenticación de la autorización y utilizando el lenguaje de políticas Cedar de Amazon para definir las reglas de acceso. La autenticación verifica la identidad, mientras que la autorización determina qué se le permite hacer a esa identidad. ToolHive trata estos procesos como dos pasos distintos: primero autentica al llamador y luego verifica a qué puede acceder. El sistema utiliza OpenID Connect para gestionar la autenticación y aplica sus propias reglas de permiso para las acciones de MCP. Al separar la autenticación y la autorización, ToolHive puede confiar en sistemas de identidad bien probados y evitar confundir la identidad con el control de acceso. El marco de autorización está construido sobre el lenguaje de políticas Cedar de Amazon y está diseñado como una capa por encima del servidor MCP base. Una vez que se lanza un servidor MCP con la autorización de ToolHive habilitada, cada solicitud del cliente pasa por una verificación de autorización antes de llegar a la lógica del servidor. El proceso implica autenticar al cliente, extraer la información de la solicitud, evaluar la política y permitir o denegar la solicitud según las reglas de la política. ToolHive actúa como un punto de aplicación de políticas frente al servidor MCP, bloqueando las invocaciones de herramientas no autorizadas y reduciendo el riesgo de solicitudes maliciosas. El lenguaje de políticas Cedar es flexible y expresivo, soporta tanto reglas basadas en roles como en atributos y permite un control de acceso granular.