MCP はステートレスになりました: 2026 仕様がサーバーに加える 5 つの変更点

Model Context Protocol のリリース候補は、2026 年 5 月 21 日にロックされました。バージョンとして出荷されます。 2026-07-28 7 月 28 日の見出しの変更により、すべてのサーバーが request: MCP はプロトコル層でステートレスです。 いいえ initialize 握手、いいえ Mcp-Session-Id、スティッキーなルーティングはありません。 どのリクエストもどのインスタンスにも到達できます。

ロード バランサーの背後で MCP サーバーを実行すると、インフラストラクチャの 1 つの部分が削除されます。 水平方向のスケーリングを煩わしくしているのは、共有セッション ストアです。 5つの変更点は次のとおりです 問題と、クライアントが新しいバージョンの送信を開始する前に必要な正確なトランスポート編集。

1. ステートレス コアはハンドシェイクを削除します

2025年の交通機関は、 initialize/initialized 交換。 の サーバーがセッションを作成し、セッションを返しました Mcp-Session-Id、そしてクライアントはそれをエコーしました その後のリクエストごとに。 そのセッションはロードバランサーとサーバーの両方のどこかに存在する必要がありました に到達できるため、スティッキー セッションまたは共有ストアを実行しました。

2026 トランスポートはすべてを削除します。 以前はセッション内に存在していたプロトコル メタデータ に乗ります _meta すべてのリクエストのフィールド。 クライアントは新しい機能を通じて機能を読み取ります。 server/discover 接続時に一度読み取るのではなく、メソッドを使用します。 結果: 失うセッション オブジェクトやピン留めするインスタンスはありません。

2. ルーティングはリクエストヘッダーに移動します

検査するセッションがないため、仕様では次のように追加されます。 Mcp-Method そして Mcp-Name リクエスト ヘッダーを使用して、プロキシが JSON-RPC 本文を解析せずにルーティングできるようにします。 あ tools/call のために dns_lookup ヘッダーに両方を含めることができ、エッジでは 何もデシリアライズせずに、重いツールをより大きなプールに送信します。

デプロイされたサーバーが新しいトランスポートを話していることを確認するには、サーバーがサーバーに返す内容を検査します。 地味な要望。 botoi ヘッダー エンドポイントは、あらゆる URL の応答ステータスとヘッダーを表示します。 MCP エンドポイントを確認できます Allow クライアントを作成せずに CORS ヘッダーを使用します。

3. 明示的なハンドルを通じて状態が存続する

ステートレス トランスポートはステートレス ツールを意味するものではありません。 長時間実行されるジョブは依然として追跡する必要がある 進歩。 仕様の答えは明示的なハンドル パターンです。ツール呼び出しは ID、モデルを返します。 次の呼び出しでその ID を返し、状態はハンドルをキーとしてデータ ストア内に保存されます。 リクエストにはキーが含まれるため、どのインスタンスでもフォローアップを実行できます。

これは、REST API が使用するのと同じ形状です。 リクエストにはサーバーに必要なものがすべて含まれているため、 セッションを同期するのではなく、ポッドを追加することでスケールします。 botoi MCP サーバーはすでに次のように実行されています。 ステートレス、リクエストごとに 1 つの新しいハンドラー、ヘッダーで転送される API キー。

4. タスク、拡張機能、MCP アプリの卒業生

このリビジョンでは 3 つの機能が正式化されています。

• タスク 実験的なコア機能からクリーナーを備えた拡張機能に移行しました ライフサイクル。 クライアントは次のような進歩を推進します tasks/get、 tasks/update、 そして tasks/cancel 古いポーリング設計ではなく。
• 拡張機能 逆引き DNS 識別子を保持し、機能を通じてネゴシエートするようになりました マップは、独立してバージョンを作成し、独自の仕様拡張提案トラックに従います。 あなた コアのリリースを待たずに機能を出荷します。
• MCP アプリ サーバーがサンドボックス化された iframe でレンダリングされたインタラクティブな HTML を返すようにします。 すべての UI アクションはツール呼び出しと同じ監査パスを通過するため、ボタンのクリックがログに記録されます。 他の操作と同様に権限チェックが行われます。

5. RFC 9207 に基づいて認証が強化される

6 つの SEP が OAuth 2.0 と OpenID Connect の連携を強化しました。 スキップできない変更: を検証する iss RFC 9207 によるパラメータ。これがないと、攻撃者は あるサーバーによって別のサーバーのフローに組み込まれた認証コード。クロスサーバー攻撃の一種 これは、共有認証の背後で複数の MCP サーバーを実行しているすべての展開に影響します。 スペックも リフレッシュトークンのローテーションを明確にし、同意をまたいだサイレントスコープの蓄積に対して警告します。 スクリーン。

移行チェックリスト

• セッション ストアを削除します。 鋳造と読書をやめる Mcp-Session-Id。 プロトコルメタデータを読み取る _meta リクエストごとに。
• ルーティングヘッダーを追加します。 発信して受け入れる Mcp-Method そして Mcp-Name したがって、プロキシは本文を解析せずにルーティングします。
• Convert sessions to handles. ステートフル ツールから ID を返し、キーを入力します。 その上に保管してください。 どのインスタンスもフォローアップに応答します。
• issチェックを追加します。 RFC 9207 に従って認可サーバーの発行者を検証します。 すべてのトークン交換。
• ピン留めする 2026-07-28。 今すぐ RC に対抗して構築しましょう。 機能が凍結されています 最終仕様と一致します。

Botoi は現在、49 の厳選されたツールを備えたステートレス MCP サーバーを実行しているため、本番環境を研究できます。 推測ではなく、ステートレスなトランスポートを実現します。 からクロード コード、カーソル、または VS コードに接続します。 MCP設定ページ、または エンドポイントの応答を検査するには /v1/headers からの インタラクティブドキュメント。