MCP menjadi tanpa kewarganegaraan: 5 perubahan yang dilakukan pada spesifikasi 2026 pada server Anda

Kandidat rilis Model Context Protocol dikunci pada 21 Mei 2026. Kandidat ini dikirimkan sebagai versi 2026-07-28 pada tanggal 28 Juli, dan perubahan judul menulis ulang cara setiap server menangani a permintaan: MCP tidak memiliki kewarganegaraan pada lapisan protokol. TIDAK initialize jabat tangan, tidak Mcp-Session-Id, tidak ada perutean yang lengket. Permintaan apa pun dapat diterima di tempat mana pun.

Jika Anda menjalankan server MCP di belakang penyeimbang beban, tindakan ini akan menghilangkan satu bagian infrastruktur yang membuat penskalaan horizontal mengganggu: penyimpanan sesi bersama. Berikut lima perubahan itu masalah dan pengeditan transportasi yang Anda perlukan sebelum klien mulai mengirim versi baru.

1. Inti tanpa kewarganegaraan menghilangkan jabat tangan

Angkutan 2025 dibuka dengan initialize/initialized menukarkan. Itu server mencetak sesi, menyerahkan kembali Mcp-Session-Id, dan klien menggemakannya setiap permintaan berikutnya. Sesi itu harus berada di suatu tempat baik penyeimbang beban maupun server dapat dijangkau, jadi Anda menjalankan sesi melekat atau penyimpanan bersama.

Transportasi 2026 menghapus semuanya. Metadata protokol yang dulu ada di sesi sekarang naik a _meta bidang pada setiap permintaan. Klien membaca kemampuan melalui yang baru server/discover metode alih-alih membacanya sekali pada waktu koneksi. Hasilnya: tidak ada objek sesi yang hilang, tidak ada instance untuk disematkan.

2. Perutean berpindah ke header permintaan

Karena tidak ada sesi untuk diperiksa, spesifikasinya ditambahkan Mcp-Method Dan Mcp-Name meminta header sehingga proksi dapat melakukan rute tanpa mengurai isi JSON-RPC. A tools/call untuk dns_lookup membawa keduanya di header, dan edge Anda bisa mengirim alat berat ke kumpulan yang lebih besar tanpa melakukan deserialisasi apa pun.

Anda dapat mengonfirmasi bahwa server yang dikerahkan menggunakan transportasi baru dengan memeriksa apa yang dikembalikannya a permintaan biasa. Titik akhir header botoi menunjukkan status respons dan header untuk URL apa pun Anda dapat memeriksa titik akhir MCP Allow dan header CORS tanpa menulis klien:

3. Negara bertahan melalui penanganan yang eksplisit

Transportasi tanpa kewarganegaraan bukan berarti alat tanpa kewarganegaraan. Pekerjaan yang sudah berjalan lama masih perlu dilacak kemajuan. Jawaban spesifikasi adalah pola pegangan eksplisit: panggilan alat mengembalikan ID, modelnya meneruskan ID itu kembali pada panggilan berikutnya, dan status berada di penyimpanan data Anda yang dikunci oleh pegangannya. Setiap instance dapat melayani tindak lanjut karena permintaan tersebut membawa kunci.

Ini adalah bentuk yang sama yang digunakan REST API. Permintaan tersebut membawa semua yang dibutuhkan server, begitu juga Anda skalakan dengan menambahkan pod, bukan dengan menyinkronkan sesi. Server botoi MCP sudah berjalan dengan cara ini: tanpa kewarganegaraan, satu penangan baru per permintaan, kunci API diteruskan dalam header.

4. Tugas, Ekstensi, dan Lulusan Aplikasi MCP

Tiga fitur diformalkan dalam revisi ini:

• Tugas dipindahkan dari fitur inti eksperimental ke ekstensi dengan pembersih siklus hidup. Klien mendorong kemajuan dengan tasks/get, tasks/update, Dan tasks/cancel daripada desain pemungutan suara yang lama.
• Ekstensi sekarang membawa pengidentifikasi DNS terbalik, bernegosiasi melalui kemampuan memetakan, membuat versi secara mandiri, dan mengikuti jalur Proposal Peningkatan Spesifikasi mereka sendiri. kamu mengirimkan kemampuan tanpa menunggu rilis inti.
• Aplikasi MCP biarkan server mengembalikan HTML interaktif yang dirender dalam iframe kotak pasir. Setiap tindakan UI melewati jalur audit yang sama dengan pemanggilan alat, sehingga klik tombol dicatat dan izin diperiksa seperti operasi lainnya.

5. Otorisasi mengeras di sekitar RFC 9207

Enam SEP memperketat penyelarasan OAuth 2.0 dan OpenID Connect. Perubahan yang tidak dapat Anda lewati: memvalidasi iss parameter per RFC 9207. Tanpanya, penyerang dapat menyuntikkan kode otorisasi yang dicetak oleh satu server ke dalam aliran untuk server lain, suatu kelas serangan lintas server yang mengenai penerapan apa pun yang menjalankan lebih dari satu server MCP di belakang autentikasi bersama. Speknya juga memperjelas rotasi token penyegaran dan memperingatkan terhadap akumulasi cakupan diam-diam di seluruh persetujuan layar.

Daftar periksa migrasi Anda

• Jatuhkan penyimpanan sesi. Berhenti mencetak dan membaca Mcp-Session-Id. Baca metadata protokol dari _meta pada setiap permintaan.
• Tambahkan header perutean. Keluarkan dan terima Mcp-Method Dan Mcp-Name jadi proxy Anda merutekan tanpa menguraikan isi.
• Ubah sesi menjadi pegangan. Kembalikan ID dari alat stateful dan kunci milik Anda simpan di atasnya. Setiap contoh menjawab tindak lanjut.
• Tambahkan cek iss. Validasi penerbit server otorisasi per RFC 9207 aktif setiap pertukaran token.
• Sematkan ke 2026-07-28. Bangun melawan RC sekarang; itu dibekukan fitur dan cocok dengan spesifikasi akhir.

Botoi saat ini menjalankan server MCP tanpa kewarganegaraan dengan 49 alat yang dikurasi, sehingga Anda dapat mempelajari produksinya transportasi tanpa kewarganegaraan alih-alih menebak-nebak. Hubungkan ke Claude Code, Cursor, atau VS Code dari halaman pengaturan MCP, atau periksa respons titik akhir mana pun dengan /v1/headers dari dokumen interaktif.