Авторизация по умолчанию с обеспечением безопасности для серверов MCP, работающих на базе ToolHive

ToolHive - это решение, помогающее контролировать, кто может вызывать что в серверах MCP, отделяя аутентификацию от авторизации и используя язык политики Cedar от Amazon для определения правил доступа. Аутентификация проверяет идентичность, а авторизация определяет, что может делать эта идентичность. ToolHive рассматривает эти шаги как два отдельных этапа, сначала аутентифицируя вызывающего и затем проверяя, что он может доступать. Система использует OpenID Connect для обработки аутентификации и применяет свои собственные правила разрешений для действий MCP. Отделяя аутентификацию и авторизацию, ToolHive может полагаться на хорошо зарекомендовавшие себя системы идентичности и избегать смешивания идентичности с контролем доступа. Фреймворк авторизации построен на языке политики Cedar от Amazon и спроектирован как слой поверх базового сервера MCP. Как только сервер MCP запущен с включенной авторизацией ToolHive, каждый запрос клиента проходит через проверку авторизации перед тем, как достичь логики сервера. Процесс включает аутентификацию клиента, извлечение информации о запросе, оценку политики и разрешение или запрет запроса на основе правил политики. ToolHive действует как точка принудительного применения политики перед сервером MCP, блокируя неавторизованные вызовы инструментов и уменьшая риск злонамеренных запросов. Язык политики Cedar гибок и выразителен, поддерживая как ролевые, так и атрибутные правила, и позволяя осуществлять тонкую настройку контроля доступа.