피드로 돌아가기
Claude Code OAuth deep dive: how EmblemAI's MCP server handles auth
Dev.toDev.to
Security

RFC 7591 및 PKCE 기반 Claude Code 맞춤형 OAuth 설계

Claude Code OAuth deep dive: how EmblemAI's MCP server handles auth

EmblemAI2026년 4월 20일4intermediate

AI 요약

Context

MCP 서버 구현 시 표준 OAuth 준수와 Claude Code 클라이언트 간의 호환성 간극으로 인한 설치 실패 문제 발생. 특히 Native Client 환경에서 Client Secret 보관 불가 및 동적 등록 절차의 복잡성으로 인한 사용자 경험 저하가 병목 지점으로 작용.

Technical Solution

  • .well-known/oauth-authorization-server 메타데이터 노출을 통한 자동 서비스 발견 구조 설계
  • Client Secret이 필요 없는 Public Client 설정을 위해 token_endpoint_auth_methods_supported를 none으로 정의
  • RFC 7591 기반 Client Metadata Document 지원을 통한 복잡한 사전 등록 단계 제거
  • PKCE(S256) 및 Loopback Redirect URI(http://127.0.0.1) 허용으로 Native Client의 보안성 및 설치 편의성 확보
  • RS256 서명 JWT 및 JWKS 엔드포인트를 활용한 토큰 검증 체계 구축
  • One-time-use Refresh Token 도입을 통한 토큰 탈취 리스크 최소화

실천 포인트

1. .well-known/oauth-authorization-server 및 jwks.json 엔드포인트 구현 여부 확인

2. Public Client 대상 Client Secret 요구 제거 및 PKCE S256 강제 적용

3. Loopback Redirect URI의 HTTP 허용 설정 확인

4. RFC 7591 적용을 통한 Client Registration 절차 간소화 검토

5. Refresh Token 재사용 방지 로직(Rotation) 구현

태그

#RFC 7591#JWT#MCP#PKCE#OAuth
원문 읽기