Wann tritt die zustandslose MCP-Spezifikation in Kraft?

Der Release Candidate wurde am 21. Mai 2026 gesperrt und die endgültige Spezifikation wird am 28. Juli 2026 mit der Versionszeichenfolge 2026-07-28 veröffentlicht. Die Funktionen des RC sind eingefroren, sodass alles, was Sie jetzt darauf aufbauen, der endgültigen Spezifikation entspricht. Server der älteren Revisionen von 2025 funktionieren weiterhin unter der neuen 12-monatigen Einstellungsrichtlinie, aber jeder neue Client landet beim zustandslosen Transport.

Was genau wird im zustandslosen Kern entfernt?

Der Initialize/Initialized-Handshake und der Mcp-Session-Id-Header sind verschwunden. Ein Server hält kein Sitzungsobjekt mehr zwischen Anfragen. Protocol metadata that used to live in the session now travels in the _meta field on every request, and clients fetch capabilities with a new server/discover method instead of reading them once at connection time.

Muss ich meinen MCP-Server neu schreiben?

Nur die Transportschicht. Tool-Handler, Schemata und Beschreibungen bleiben unberührt. Sie löschen den Sitzungsspeicher, hören auf, Mcp-Session-Id zu lesen, lesen Protokollmetadaten aus _meta pro Anfrage und fügen Mcp-Method- und Mcp-Name-Anfrageheader hinzu, damit ein Lastenausgleichsmodul weiterleiten kann, ohne den Hauptteil zu überprüfen. Ein Server, der hinter den Kulissen bereits zustandslos war, erfordert fast keine Arbeit.

Wie überlebt der Staat, wenn das Protokoll staatenlos ist?

Durch explizite Handle-Muster. Ein Werkzeugaufruf gibt eine ID zurück und das Modell gibt diese ID beim nächsten Aufruf zurück. Der Status befindet sich in Ihrem Datenspeicher, verschlüsselt durch das Handle, nicht in einer Protokollsitzung. Dies ist das gleiche Muster, das REST-APIs seit Jahren verwenden: Die Anfrage enthält alles, was der Server zum Handeln benötigt, sodass jede Instanz sie bedienen kann.

Was hat sich bei der Autorisierung geändert?

Sechs Vorschläge zur Spezifikationsverbesserung verschärften die Ausrichtung von OAuth 2.0 und OpenID Connect. Die Hauptanforderung besteht in der Validierung des iss-Parameters gemäß RFC 9207, um die Einschleusung von Autorisierungscode über Server hinweg zu verhindern, sowie klarerer Regeln für die Rotation von Aktualisierungstoken und die Akkumulation von Bereichen. Wenn Sie einen authentifizierten MCP-Server versenden, ist die Iss-Prüfung die einzige Änderung, die Sie nicht überspringen können.

Guide

MCP wurde zustandslos: 5 Änderungen, die die 2026-Spezifikation an Ihrem Server vornimmt

3. Juni 2026 | 8 min read

Der MCP-Spezifikations-Release-Kandidat ist am 21. Mai 2026 gesperrt und wird am 28. Juli als Version 2026-07-28 ausgeliefert. Zustandsloser Kern, Aufgaben, Erweiterungen, MCP-Apps und OAuth-Härtung mit genau den Transportänderungen, die Serverautoren benötigen.

Data center network switches representing stateless MCP transport — Photo by Taylor Vick on Unsplash

Der Release Candidate des Model Context Protocol wurde am 21. Mai 2026 gesperrt. Er wird als Version ausgeliefert 2026-07-28 am 28. Juli, und die Überschriftenänderung schreibt neu, wie jeder Server mit a umgeht Anfrage: MCP ist auf der Protokollebene zustandslos. NEIN initialize Handschlag, nein Mcp-Session-Id, kein Sticky Routing. Any request can land on any instance.

Wenn Sie einen MCP-Server hinter einem Load Balancer betreiben, wird ein Teil der Infrastruktur entfernt das machte die horizontale Skalierung nervig: der Shared Session Store. Hier sind die fünf Änderungen Angelegenheit und die genauen Transportänderungen, die Sie benötigen, bevor Kunden mit dem Versenden der neuen Version beginnen.

1. Der zustandslose Kern entfernt den Handshake

Der Transport 2025 wurde mit einem eröffnet initialize/initialized Austausch. Die Der Server hat eine Sitzung geprägt und eine zurückgegeben Mcp-Session-Id, und der Kunde wiederholte es jede spätere Anfrage. Diese Sitzung musste sowohl auf dem Load Balancer als auch auf dem Server stattfinden erreichen konnte, sodass Sie Sticky Sessions oder einen Shared Store ausgeführt haben.

Der Transport 2026 löscht alles. Protokollmetadaten, die jetzt in der Sitzung vorhanden waren Fahrten in einem _meta Feld auf jeder Anfrage. Clients lesen Funktionen durch ein neues server/discover Methode, anstatt sie einmal zum Verbindungszeitpunkt zu lesen. Das Ergebnis: Kein Sitzungsobjekt zum Verlieren, keine Instanz zum Anpinnen.

2. Das Routing wird in die Anforderungsheader verschoben

Da es keine zu prüfende Sitzung gibt, heißt es in der Spezifikation Mcp-Method Und Mcp-Name Anforderungsheader, damit ein Proxy weiterleiten kann, ohne den JSON-RPC-Körper zu analysieren. A tools/call für dns_lookup trägt beides im Header, und Ihr Rand kann Senden Sie schwere Tools an einen größeren Pool, ohne etwas zu deserialisieren.

Sie können bestätigen, dass ein bereitgestellter Server den neuen Transport spricht, indem Sie überprüfen, was er an a zurückgibt einfache Anfrage. Der Botoi-Header-Endpunkt zeigt den Antwortstatus und die Header für jede URL an Sie können die eines MCP-Endpunkts überprüfen Allow und CORS-Header, ohne einen Client zu schreiben:

3. Der Zustand bleibt durch explizite Handles erhalten

Staatenloser Transport bedeutet nicht gleich staatenlose Werkzeuge. Ein Job mit langer Laufzeit muss noch nachverfolgt werden Fortschritt. Die Antwort der Spezifikation ist das explizite Handle-Muster: Ein Tool-Aufruf gibt eine ID, das Modell, zurück gibt diese ID beim nächsten Aufruf zurück und der Status bleibt in Ihrem durch das Handle verschlüsselten Datenspeicher erhalten. Jede Instanz kann die Nachverfolgung durchführen, da die Anforderung den Schlüssel enthält.

Dies ist die gleiche Form, die eine REST-API verwendet. Die Anfrage enthält alles, was der Server benötigt, also Sie Skalieren Sie durch Hinzufügen von Pods, nicht durch Synchronisieren von Sitzungen. Der botoi MCP-Server läuft bereits so: Zustandslos, ein neuer Handler pro Anfrage, der API-Schlüssel wird in Headern weitergeleitet.

4. Absolvent von Aufgaben, Erweiterungen und MCP-Apps

Drei Merkmale werden in dieser Überarbeitung formalisiert:

Aufgaben von einer experimentellen Kernfunktion zu einer Erweiterung mit einem Cleaner verschoben Lebenszyklus. Kunden treiben den Fortschritt voran tasks/get, tasks/update, Und tasks/cancel anstelle des alten Umfragedesigns.
Erweiterungen Tragen Sie jetzt Reverse-DNS-Kennungen und verhandeln Sie über die Fähigkeit Karten erstellen, Versionen unabhängig erstellen und ihrem eigenen Spezifikationsverbesserungsvorschlag folgen. Du Liefern Sie eine Funktion, ohne auf eine Kernversion warten zu müssen.
MCP-Apps Lassen Sie einen Server interaktives HTML zurückgeben, das in einem Sandbox-Iframe gerendert wird. Jede UI-Aktion durchläuft denselben Prüfpfad wie ein Tool-Aufruf, sodass ein Tastenklick protokolliert wird und wie jeder andere Vorgang berechtigungsgeprüft.

5. Die Autorisierung wird rund um RFC 9207 verschärft

Sechs SEPs haben die Ausrichtung von OAuth 2.0 und OpenID Connect verschärft. Die Änderung, die Sie nicht überspringen können: validieren Sie die iss Parameter gemäß RFC 9207. Ohne ihn kann ein Angreifer einen einschleusen Autorisierungscode, der von einem Server in einen Fluss für einen anderen geprägt wurde, eine Klasse von serverübergreifenden Angriffen Dies betrifft alle Bereitstellungen, auf denen mehr als ein MCP-Server hinter der gemeinsamen Authentifizierung ausgeführt wird. Die Spezifikation auch verdeutlicht die Aktualisierungstokenrotation und warnt vor einer stillen Bereichsanhäufung über die Zustimmung hinaus Bildschirme.

Im Lieferumfang der Spezifikation ist eine formelle Einstellungsrichtlinie enthalten. Funktionen bewegen sich jetzt über Active, Die Stufen „Veraltet“ und „Entfernt“ mit einem Zeitraum von mindestens 12 Monaten zwischen der Einstellung und der Entfernung. Ihr 2025-Server wird am 28. Juli nicht kaputt gehen; es wird stattdessen in die Verfallsuhr eingetragen.

Ihre Migrations-Checkliste

Löschen Sie den Sitzungsspeicher. Hören Sie auf zu prägen und zu lesen Mcp-Session-Id. Protokollmetadaten lesen von _meta auf jede Anfrage.
Fügen Sie Routing-Header hinzu. Aussenden und akzeptieren Mcp-Method Und Mcp-Name Ihr Proxy leitet also weiter, ohne den Text zu analysieren.
Konvertieren Sie Sitzungen in Handles. Geben Sie eine ID von Stateful-Tools zurück und geben Sie Ihre ein darauf lagern. Jede Instanz beantwortet das Follow-up.
Fügen Sie den Iss-Check hinzu. Validieren Sie den Aussteller des Autorisierungsservers gemäß RFC 9207 jeder Token-Austausch.
Anheften 2026-07-28. Bauen Sie jetzt gegen den RC; es ist funktionseingefroren und entspricht der endgültigen Spezifikation.

Botoi betreibt heute einen zustandslosen MCP-Server mit 49 kuratierten Tools, sodass Sie eine Produktion studieren können Staatenloser Transport statt Raten. Verbinden Sie es mit Claude Code, Cursor oder VS Code aus dem MCP-Setup-Seite, oder Überprüfen Sie die Antwort eines Endpunkts mit /v1/headers aus dem interaktive Dokumente.

FAQ

Wann tritt die zustandslose MCP-Spezifikation in Kraft?: Der Release Candidate wurde am 21. Mai 2026 gesperrt und die endgültige Spezifikation wird am 28. Juli 2026 mit der Versionszeichenfolge 2026-07-28 veröffentlicht. Die Funktionen des RC sind eingefroren, sodass alles, was Sie jetzt darauf aufbauen, der endgültigen Spezifikation entspricht. Server der älteren Revisionen von 2025 funktionieren weiterhin unter der neuen 12-monatigen Einstellungsrichtlinie, aber jeder neue Client landet beim zustandslosen Transport.
Was genau wird im zustandslosen Kern entfernt?: Der Initialize/Initialized-Handshake und der Mcp-Session-Id-Header sind verschwunden. Ein Server hält kein Sitzungsobjekt mehr zwischen Anfragen. Protocol metadata that used to live in the session now travels in the _meta field on every request, and clients fetch capabilities with a new server/discover method instead of reading them once at connection time.
Muss ich meinen MCP-Server neu schreiben?: Nur die Transportschicht. Tool-Handler, Schemata und Beschreibungen bleiben unberührt. Sie löschen den Sitzungsspeicher, hören auf, Mcp-Session-Id zu lesen, lesen Protokollmetadaten aus _meta pro Anfrage und fügen Mcp-Method- und Mcp-Name-Anfrageheader hinzu, damit ein Lastenausgleichsmodul weiterleiten kann, ohne den Hauptteil zu überprüfen. Ein Server, der hinter den Kulissen bereits zustandslos war, erfordert fast keine Arbeit.
Wie überlebt der Staat, wenn das Protokoll staatenlos ist?: Durch explizite Handle-Muster. Ein Werkzeugaufruf gibt eine ID zurück und das Modell gibt diese ID beim nächsten Aufruf zurück. Der Status befindet sich in Ihrem Datenspeicher, verschlüsselt durch das Handle, nicht in einer Protokollsitzung. Dies ist das gleiche Muster, das REST-APIs seit Jahren verwenden: Die Anfrage enthält alles, was der Server zum Handeln benötigt, sodass jede Instanz sie bedienen kann.
Was hat sich bei der Autorisierung geändert?: Sechs Vorschläge zur Spezifikationsverbesserung verschärften die Ausrichtung von OAuth 2.0 und OpenID Connect. Die Hauptanforderung besteht in der Validierung des iss-Parameters gemäß RFC 9207, um die Einschleusung von Autorisierungscode über Server hinweg zu verhindern, sowie klarerer Regeln für die Rotation von Aktualisierungstoken und die Akkumulation von Bereichen. Wenn Sie einen authentifizierten MCP-Server versenden, ist die Iss-Prüfung die einzige Änderung, die Sie nicht überspringen können.

Starte mit botoi zu entwickeln

150+ API-Endpunkte für Abfragen, Textverarbeitung, Bildgenerierung und Entwickler-Tools. Kostenloser Tarif, keine Kreditkarte nötig.

API-Dokumentation ansehen Alle Tools ansehen