메인 콘텐츠로 건너뛰기

튜토리얼: Todo 매니저 만들기 (Tutorial: Build a todo manager)

Python SDK 사용 가능

MCP Auth는 Python에서도 사용할 수 있습니다! 설치 및 사용법은 Python SDK 저장소를 확인하세요.

이 튜토리얼에서는 사용자 인증 (인증 (Authentication)) 및 인가 (Authorization)가 적용된 todo 매니저 MCP 서버를 구축합니다. 최신 MCP 명세를 따라, 우리의 MCP 서버는 액세스 토큰 (액세스 토큰 (Access token))을 검증하고 스코프 기반 권한을 적용하는 OAuth 2.0 리소스 서버 (Resource Server) 역할을 하게 됩니다.

이 튜토리얼을 완료하면 다음을 얻게 됩니다:

  • ✅ MCP 서버에서 역할 기반 접근 제어 (RBAC)에 대한 기본 이해
  • ✅ 인가 서버가 발급한 액세스 토큰을 사용하는 리소스 서버 역할의 MCP 서버
  • ✅ todo 작업에 대한 스코프 기반 권한 적용의 실제 구현

개요 (Overview)

이 튜토리얼에는 다음과 같은 구성 요소가 포함됩니다:

  • MCP 클라이언트 (MCP Inspector): OAuth 2.0/OIDC 클라이언트 역할을 하는 MCP 서버용 시각적 테스트 도구입니다. 인가 서버와 인가 플로우를 시작하고, MCP 서버에 요청을 인증하기 위한 액세스 토큰을 획득합니다.
  • 인가 서버 (Authorization Server): 사용자 아이덴티티를 관리하고, 사용자를 인증하며, 인가된 클라이언트에 적절한 스코프가 포함된 액세스 토큰을 발급하는 OAuth 2.1 또는 OpenID Connect 제공자입니다.
  • MCP 서버 (Resource Server): 최신 MCP 명세에 따라, MCP 서버는 OAuth 2.0 프레임워크에서 리소스 서버 역할을 합니다. 인가 서버가 발급한 액세스 토큰을 검증하고, todo 작업에 대해 스코프 기반 권한을 적용합니다.

이 아키텍처는 표준 OAuth 2.0 플로우를 따릅니다:

  • MCP Inspector가 사용자를 대신하여 보호된 리소스를 요청합니다
  • 인가 서버가 사용자를 인증하고 액세스 토큰을 발급합니다
  • MCP 서버가 토큰을 검증하고, 부여된 권한에 따라 보호된 리소스를 제공합니다

다음은 이 구성 요소들 간 상호작용의 상위 다이어그램입니다:

인가 서버 이해하기 (Understand your authorization server)

스코프가 포함된 액세스 토큰 (Access tokens with scopes)

MCP 서버에서 역할 기반 접근 제어 (RBAC)를 구현하려면, 인가 서버가 스코프가 포함된 액세스 토큰을 발급할 수 있어야 합니다. 스코프는 사용자가 부여받은 권한을 나타냅니다.

Logto는 API 리소스(RFC 8707: OAuth 2.0을 위한 리소스 지표) 및 역할 기능을 통해 RBAC를 지원합니다. 설정 방법은 다음과 같습니다:

  1. Logto Console (또는 자체 호스팅 Logto Console)에 로그인하세요.

  2. API 리소스 및 스코프 생성:

    • "API 리소스"로 이동
    • "Todo Manager"라는 새 API 리소스 생성
    • 다음 스코프 추가:
      • create:todos: "새 todo 항목 생성"
      • read:todos: "모든 todo 항목 읽기"
      • delete:todos: "모든 todo 항목 삭제"

  3. 역할 생성(관리를 쉽게 하기 위해 권장):

    • "역할"로 이동
    • "Admin" 역할을 생성하고 모든 스코프(create:todos, read:todos, delete:todos) 할당
    • "User" 역할을 생성하고 create:todos 스코프만 할당

  4. 권한 할당:

    • "사용자"로 이동
    • 사용자를 선택
    • "Roles" 탭에서 역할 할당(권장)
    • 또는 "Permissions" 탭에서 스코프 직접 할당

스코프는 JWT 액세스 토큰의 scope 클레임에 공백으로 구분된 문자열로 포함됩니다.

토큰 검증 및 권한 확인 (Validating tokens and checking permissions)

최신 MCP 명세에 따르면, MCP 서버는 OAuth 2.0 프레임워크에서 리소스 서버 (Resource Server) 역할을 합니다. 리소스 서버로서 MCP 서버의 책임은 다음과 같습니다:

  1. 토큰 검증: MCP 클라이언트로부터 받은 액세스 토큰의 진위 및 무결성 확인
  2. 스코프 적용: 액세스 토큰에서 스코프를 추출 및 검증하여 클라이언트가 수행할 수 있는 작업 결정
  3. 리소스 보호: 유효한 토큰과 충분한 권한이 있는 경우에만 보호된 리소스(도구 실행) 제공

MCP 서버가 요청을 받으면 다음과 같은 검증 과정을 거칩니다:

  1. Authorization 헤더에서 액세스 토큰 추출(Bearer 토큰 형식)
  2. 액세스 토큰의 서명 및 만료 검증
  3. 검증된 토큰에서 스코프 및 사용자 정보 추출
  4. 요청된 작업에 필요한 스코프가 토큰에 포함되어 있는지 확인

예를 들어, 사용자가 새 todo 항목을 생성하려면 액세스 토큰에 create:todos 스코프가 포함되어야 합니다. 리소스 서버 검증 플로우는 다음과 같습니다:

동적 클라이언트 등록 (Dynamic Client Registration)

이 튜토리얼에서는 필수는 아니지만, 인가 서버와 MCP 클라이언트 등록을 자동화하고 싶다면 유용할 수 있습니다. 자세한 내용은 동적 클라이언트 등록이 필요한가요?를 참고하세요.

Todo 매니저에서 RBAC 이해하기 (Understand RBAC in todo manager)

데모 목적상, todo 매니저 MCP 서버에 간단한 역할 기반 접근 제어 (RBAC) 시스템을 구현합니다. 이를 통해 RBAC의 기본 원리를 쉽게 이해할 수 있습니다.

노트

이 튜토리얼은 RBAC 기반 스코프 관리를 시연하지만, 모든 인증 (Authentication) 제공자가 역할을 통한 스코프 관리를 구현하는 것은 아닙니다. 일부 제공자는 자체적인 접근 제어 및 권한 관리 방식을 가질 수 있습니다.

도구와 스코프 (Tools and scopes)

우리 todo 매니저 MCP 서버는 세 가지 주요 도구를 제공합니다:

  • create-todo: 새 todo 항목 생성
  • get-todos: 모든 todo 목록 조회
  • delete-todo: ID로 todo 삭제

이 도구들에 대한 접근을 제어하기 위해 다음과 같은 스코프를 정의합니다:

  • create:todos: 새 todo 항목 생성 허용
  • delete:todos: 기존 todo 항목 삭제 허용
  • read:todos: 모든 todo 항목 조회 및 검색 허용

역할과 권한 (Roles and permissions)

다음과 같이 서로 다른 접근 수준을 가진 두 가지 역할을 정의합니다:

역할create:todosread:todosdelete:todos
Admin
User
  • User: 자신의 todo만 생성, 조회, 삭제할 수 있는 일반 사용자
  • Admin: 소유자와 상관없이 모든 todo를 생성, 조회, 삭제할 수 있는 관리자

리소스 소유권 (Resource ownership)

위 권한 테이블은 각 역할에 명시적으로 할당된 스코프를 보여주지만, 리소스 소유권이라는 중요한 원칙이 있습니다:

  • Userread:todos 또는 delete:todos 스코프가 없지만, 여전히:
    • 자신의 todo 항목을 읽을 수 있음
    • 자신의 todo 항목을 삭제할 수 있음
  • Admin은 전체 권한(read:todos, delete:todos)을 가지며:
    • 시스템의 모든 todo 항목을 볼 수 있음
    • 소유자와 상관없이 모든 todo 항목을 삭제할 수 있음

이는 RBAC 시스템에서 리소스 소유권이 사용자의 자체 리소스에 대한 암묵적 권한을 부여하고, 관리 역할은 모든 리소스에 대한 명시적 권한을 받는 일반적인 패턴을 보여줍니다.

더 알아보기

RBAC 개념과 모범 사례를 더 깊이 이해하려면 Mastering RBAC: A Comprehensive Real-World Example을 참고하세요.

제공자에서 인가 구성하기 (Configure authorization in your provider)

앞서 설명한 접근 제어 시스템을 구현하려면, 인가 서버에서 필요한 스코프를 지원하도록 구성해야 합니다. 제공자별 설정 방법은 다음과 같습니다:

Logto는 API 리소스와 역할 기능을 통해 RBAC를 지원합니다. 설정 방법은 다음과 같습니다:

  1. Logto Console (또는 자체 호스팅 Logto Console)에 로그인하세요.

  2. API 리소스 및 스코프 생성:

    • "API 리소스"로 이동
    • "Todo Manager"라는 새 API 리소스를 생성하고, 리소스 지표로 http://localhost:3001을 사용합니다.
      • 중요: 리소스 지표는 MCP 서버의 URL과 일치해야 합니다. 이 튜토리얼에서는 MCP 서버가 3001 포트에서 실행되므로 http://localhost:3001을 사용합니다. 운영 환경에서는 실제 MCP 서버 URL(예: https://your-mcp-server.example.com)을 사용하세요.
    • 다음 스코프 생성:
      • create:todos: "새 todo 항목 생성"
      • read:todos: "모든 todo 항목 읽기"
      • delete:todos: "모든 todo 항목 삭제"

  3. 역할 생성(관리를 쉽게 하기 위해 권장):

    • "Roles"로 이동
    • "Admin" 역할을 생성하고 모든 스코프(create:todos, read:todos, delete:todos) 할당
    • "User" 역할을 생성하고 create:todos 스코프만 할당
    • "User" 역할 상세 페이지에서 "General" 탭으로 이동하여 "User" 역할을 "기본 역할"로 설정

  4. 사용자 역할 및 권한 관리:

    • 신규 사용자:
      • 기본 역할로 "User" 역할이 자동 할당됨
    • 기존 사용자:
      • "사용자 관리"로 이동
      • 사용자를 선택
      • "Roles" 탭에서 역할 할당
프로그래밍 방식의 역할 관리

Logto의 Management API를 사용하여 프로그래밍 방식으로 사용자 역할을 관리할 수 있습니다. 자동화된 사용자 관리나 관리자 패널 구축 시 유용합니다.

액세스 토큰을 요청할 때, Logto는 사용자 역할 권한에 따라 토큰의 scope 클레임에 스코프를 포함합니다.

인가 서버를 구성한 후, 사용자는 부여받은 스코프가 포함된 액세스 토큰을 받게 됩니다. MCP 서버는 이 스코프를 사용하여 다음을 결정합니다:

  • 사용자가 새 todo를 생성할 수 있는지 (create:todos)
  • 사용자가 모든 todo를 볼 수 있는지 (read:todos) 또는 자신의 것만 볼 수 있는지
  • 사용자가 모든 todo를 삭제할 수 있는지 (delete:todos) 또는 자신의 것만 삭제할 수 있는지

MCP 서버 설정하기 (Set up the MCP server)

MCP 공식 SDK를 사용하여 todo 매니저 MCP 서버를 만듭니다.

새 프로젝트 생성 (Create a new project)

새 Node.js 프로젝트를 설정하세요:

mkdir mcp-server
cd mcp-server
npm init -y # 또는 `pnpm init` 사용
npm pkg set type="module"
npm pkg set main="todo-manager.ts"
npm pkg set scripts.start="node --experimental-strip-types todo-manager.ts"
노트

예제에서는 Node.js v22.6.0+에서 --experimental-strip-types 플래그로 TypeScript를 네이티브로 실행할 수 있으므로 TypeScript를 사용합니다. JavaScript를 사용하는 경우 코드가 유사하며, Node.js v22.6.0 이상을 사용해야 합니다. 자세한 내용은 Node.js 문서를 참고하세요.

MCP SDK 및 의존성 설치 (Install the MCP SDK and dependencies)

npm install @modelcontextprotocol/sdk express zod

또는 pnpm, yarn 등 원하는 패키지 매니저를 사용할 수 있습니다.

MCP 서버 생성 (Create the MCP server)

todo-manager.ts 파일을 만들고 다음 코드를 추가하세요:

(코드는 번역하지 않습니다. 그대로 사용하세요.)

서버 실행:

npm start

MCP 서버 검사하기 (Inspect the MCP server)

MCP inspector 클론 및 실행 (Clone and run MCP inspector)

이제 MCP 서버가 실행 중이므로, MCP inspector를 사용해 도구가 노출되는지 확인할 수 있습니다.

공식 MCP inspector v0.16.2에는 인증 (Authentication) 기능에 영향을 주는 버그가 있습니다. 이를 해결하기 위해 OAuth/OIDC 인증 플로우에 필요한 수정이 포함된 패치 버전 MCP inspector를 만들었습니다. 공식 저장소에도 PR을 제출했습니다.

MCP inspector를 실행하려면(Node.js 필요):

git clone https://github.com/mcp-auth/inspector.git -b patch/0.16.2-fixes
cd inspector
npm install
npm run dev

MCP inspector는 기본 브라우저에서 자동으로 열리거나, 터미널 출력의 링크(예: http://localhost:6274/?MCP_PROXY_AUTH_TOKEN=458ae4a4...acab1907)를 클릭해 수동으로 접근할 수 있습니다.

MCP inspector를 MCP 서버에 연결 (Connect MCP inspector to the MCP server)

진행 전, MCP inspector에서 다음 설정을 확인하세요:

  • Transport Type: Streamable HTTP로 설정
  • URL: MCP 서버의 URL로 설정(예시: http://localhost:3001)

이제 "Connect" 버튼을 클릭해 MCP inspector가 MCP 서버에 연결되는지 확인하세요. 정상적으로 연결되면 MCP inspector에서 "Connected" 상태를 볼 수 있습니다.

체크포인트: Todo 매니저 도구 실행 (Checkpoint: Run todo manager tools)

  1. MCP inspector 상단 메뉴에서 "Tools" 탭 클릭
  2. "List Tools" 버튼 클릭
  3. create-todo, get-todos, delete-todo 도구가 페이지에 표시됩니다. 클릭해 도구 상세 보기
  4. 우측에 "Run Tool" 버튼이 보입니다. 클릭 후 필요한 파라미터 입력해 도구 실행
  5. JSON 응답 {"error": "Not implemented"}가 표시됩니다.

MCP inspector 첫 실행

인가 서버와 통합 (Integrate with your authorization server)

이 섹션을 완료하려면 다음 사항을 고려해야 합니다:

인가 서버의 발급자(issuer) URL

일반적으로 인가 서버의 기본 URL(예: https://auth.example.com)입니다. 일부 제공자는 https://example.logto.app/oidc와 같은 경로를 가질 수 있으니, 제공자 문서를 확인하세요.

인가 서버 메타데이터 조회 방법
  • 인가 서버가 OAuth 2.0 인가 서버 메타데이터 또는 OpenID Connect Discovery를 준수한다면, MCP Auth 내장 유틸리티로 자동 조회할 수 있습니다.
  • 준수하지 않는 경우, MCP 서버 설정에서 메타데이터 URL 또는 엔드포인트를 수동으로 지정해야 합니다. 제공자 문서를 참고하세요.
MCP inspector를 인가 서버에 클라이언트로 등록하는 방법
  • 인가 서버가 동적 클라이언트 등록을 지원한다면, MCP inspector가 자동으로 클라이언트로 등록됩니다.
  • 지원하지 않는 경우, MCP inspector를 인가 서버에 수동으로 클라이언트로 등록해야 합니다.
토큰 요청 파라미터 이해하기

인가 서버마다 대상 리소스 및 권한 지정 방식이 다를 수 있습니다. 주요 패턴은 다음과 같습니다:

  • 리소스 지표 기반:

    • resource 파라미터로 대상 API 지정(RFC 8707: OAuth 2.0을 위한 리소스 지표 참고)
    • 최신 OAuth 2.0 구현에서 일반적
    • 예시 요청: 
      {
  "resource": "http://localhost:3001",
  "scope": "create:todos read:todos"
}
    • 서버가 요청된 리소스에 바인딩된 토큰 발급

  • 대상(audience) 기반:

    • audience 파라미터로 토큰 수신자 지정
    • 리소스 지표와 유사하나 의미가 다름
    • 예시 요청: 
      {
  "audience": "todo-api",
  "scope": "create:todos read:todos"
}

  • 순수 스코프 기반:

    • 리소스/대상 파라미터 없이 스코프만 사용
    • 전통적인 OAuth 2.0 방식
    • 예시 요청: 
      {
  "scope": "todo-api:create todo-api:read openid profile"
}
    • 네임스페이스를 위해 접두사 스코프 사용
    • 간단한 OAuth 2.0 구현에서 일반적
모범 사례
  • 제공자 문서에서 지원 파라미터 확인
  • 일부 제공자는 여러 방식을 동시에 지원
  • 리소스 지표는 대상 제한을 통해 더 나은 보안 제공
  • 가능하다면 리소스 지표 사용 권장

제공자마다 구체적인 요구사항이 다를 수 있지만, 아래 단계에 따라 MCP inspector와 MCP 서버를 제공자별 설정과 통합할 수 있습니다.

MCP inspector를 클라이언트로 등록 (Register MCP inspector as a client)

Logto는 OpenID Connect 제공자로, 리소스 지표와 스코프를 지원하므로 http://localhost:3001 리소스 지표로 todo API를 안전하게 보호할 수 있습니다.

Logto는 아직 동적 클라이언트 등록을 지원하지 않으므로, MCP inspector를 Logto 테넌트에 수동으로 클라이언트로 등록해야 합니다:

  1. MCP inspector를 열고, Authentication 설정에서 "OAuth2.0 Flow" 설정을 클릭합니다. Redirect URI 값을 복사하세요(예: http://localhost:6274/oauth/callback).
  2. Logto Console (또는 자체 호스팅 Logto Console)에 로그인하세요.
  3. "Applications" 탭으로 이동, "Create application" 클릭. 페이지 하단에서 "Create app without framework" 클릭.
  4. 애플리케이션 세부 정보 입력 후 "Create application" 클릭:
    • 애플리케이션 유형 선택: "Single-page application" 선택
    • 애플리케이션 이름: 예시로 "MCP Inspector" 입력
  5. "Settings / Redirect URIs" 섹션에서, 복사한 Redirect URI 값을 붙여넣고 하단 바에서 "Save changes" 클릭
  6. 상단 카드에서 "App ID" 값을 복사
  7. MCP inspector로 돌아가 "OAuth2.0 Flow"의 "Client ID" 필드에 "App ID" 값을 붙여넣기
  8. "Scope" 필드에 create:todos read:todos delete:todos 입력. Logto가 todo 매니저에 필요한 스코프가 포함된 액세스 토큰을 반환하도록 합니다.

MCP Auth 설정 (Set up MCP Auth)

먼저, MCP 서버 프로젝트에 MCP Auth SDK를 설치하세요.

pnpm add mcp-auth

이제 MCP 서버에서 MCP Auth를 초기화해야 합니다. 보호된 리소스 모드에서는 인가 서버를 포함한 리소스 메타데이터를 구성해야 합니다.

인가 서버를 구성하는 방법은 두 가지입니다:

  • 사전 페치(권장): fetchServerConfig()로 메타데이터를 미리 가져와 MCPAuth 초기화 전에 검증합니다.
  • 온디맨드 디스커버리: issuertype만 제공하면, 최초 필요 시 메타데이터를 가져옵니다. (Cloudflare Workers 등 top-level async fetch가 불가한 환경에 유용)

보호된 리소스 메타데이터 구성 (Configure protected resource metadata)

먼저, 인가 서버의 발급자(issuer) URL을 확인하세요:

Logto에서는 Logto Console의 애플리케이션 상세 페이지 "Endpoints & Credentials / Issuer endpoint" 섹션에서 issuer URL을 확인할 수 있습니다. 예: https://my-project.logto.app/oidc

이제 MCP Auth 인스턴스 생성 시 보호된 리소스 메타데이터를 구성하세요:

(코드는 번역하지 않습니다. 그대로 사용하세요.)

MCP 서버 업데이트 (Update MCP server)

거의 다 왔습니다! 이제 MCP Auth 라우트와 미들웨어를 적용하고, 사용자의 스코프에 따라 todo 매니저 도구에 권한 기반 접근 제어를 구현합니다.

먼저, MCP 클라이언트가 MCP 서버에서 기대하는 리소스 메타데이터를 조회할 수 있도록 보호된 리소스 메타데이터 라우트를 적용하세요.

(코드는 번역하지 않습니다. 그대로 사용하세요.)

다음으로, MCP 서버에 MCP Auth 미들웨어를 적용합니다. 이 미들웨어는 인증 (Authentication) 및 인가 (Authorization)를 처리하여, 권한이 있는 사용자만 todo 매니저 도구에 접근할 수 있도록 합니다.

(코드는 번역하지 않습니다. 그대로 사용하세요.)

이제 todo 매니저 도구의 구현을 업데이트하여 MCP Auth 미들웨어를 통한 인증 (Authentication) 및 인가 (Authorization)를 활용할 수 있습니다.

(코드는 번역하지 않습니다. 그대로 사용하세요.)

이제 위 코드에서 사용된 "Todo 서비스"를 구현하세요:

todo-service.ts 파일을 생성하여 Todo 서비스를 구현합니다:

(코드는 번역하지 않습니다. 그대로 사용하세요.)

축하합니다! 인증 (Authentication) 및 인가 (Authorization)가 적용된 완전한 MCP 서버를 성공적으로 구현했습니다!

정보

MCP 서버( OIDC 버전 )의 전체 코드는 MCP Auth Node.js SDK 저장소에서 확인할 수 있습니다.

체크포인트: todo-manager 도구 실행 (Checkpoint: Run the todo-manager tools)

MCP 서버를 재시작하고 MCP inspector를 브라우저에서 엽니다. "Connect" 버튼을 클릭하면 인가 서버의 로그인 페이지로 리디렉션됩니다.

로그인 후 MCP inspector로 돌아오면, 이전 체크포인트에서 했던 것처럼 todo 매니저 도구를 실행하세요. 이번에는 인증된 사용자 아이덴티티로 도구를 사용할 수 있습니다. 도구의 동작은 사용자에게 할당된 역할과 권한에 따라 달라집니다:

  • User(오직 create:todos 스코프만 가진 사용자)로 로그인한 경우:

    • create-todo 도구로 새 todo 생성 가능
    • 자신의 todo만 조회 및 삭제 가능
    • 다른 사용자의 todo는 볼 수 없고 삭제도 불가

  • Admin(모든 스코프: create:todos, read:todos, delete:todos 보유)로 로그인한 경우:

    • 새 todo 생성 가능
    • get-todos 도구로 시스템의 모든 todo 조회 가능
    • delete-todo 도구로 소유자와 상관없이 모든 todo 삭제 가능

다른 권한 수준을 테스트하려면:

  1. 현재 세션에서 로그아웃(MCP inspector에서 "Disconnect" 클릭)
  2. 다른 역할/권한을 가진 사용자 계정으로 로그인
  3. 동일한 도구를 다시 실행하여 권한에 따라 동작이 어떻게 달라지는지 확인

이로써 역할 기반 접근 제어 (RBAC)가 실제로 어떻게 동작하는지 확인할 수 있습니다.

MCP inspector todo 매니저 도구 결과

정보

MCP 서버( OIDC 버전 )의 전체 코드는 MCP Auth Node.js SDK 저장소에서 확인할 수 있습니다.

마무리 (Closing notes)

축하합니다! 튜토리얼을 성공적으로 완료했습니다. 지금까지 한 일을 요약하면:

  • todo 관리 도구(create-todo, get-todos, delete-todo)가 포함된 기본 MCP 서버 설정
  • 사용자와 관리자를 위한 다양한 권한 수준의 역할 기반 접근 제어 (RBAC) 구현
  • MCP Auth를 사용해 MCP 서버를 인가 서버와 통합
  • MCP Inspector를 구성하여 사용자를 인증하고, 스코프가 포함된 액세스 토큰으로 도구 호출

MCP Auth를 최대한 활용하려면 다른 튜토리얼과 문서도 꼭 확인해 보세요.