agent-auth-mcp

Verwenden Sie die Agent Auth MCP-Tools, um Anbieter zu entdecken, Agents zu verbinden, Fähigkeiten zu verwalten und Operationen über das MCP-Protokoll auszuführen. Verwenden Sie bei der Arbeit mit…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-mcp

Agent Auth MCP Tools

You have access to Agent Auth MCP tools for interacting with Agent Auth providers. Always prefer using these MCP tools for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Starting the MCP Server

The MCP server is part of the CLI:

auth-agent mcp

Or with pre-configured providers:

auth-agent mcp --url https://api.example.com

Cursor / Claude Desktop configuration

{
  "mcpServers": {
    "auth-agent": {
      "command": "npx",
      "args": ["@auth/agent-cli", "mcp", "--url", "https://api.example.com"]
    }
  }
}

Available Tools

The MCP server exposes 17 tools. Follow the numbered workflow below.

Step 1: Discovery — Find a Provider

ToolParametersWhen to use
list_providers(none)Call this first. Lists all discovered/configured providers.
search_providersintent (required)Search the directory by name or intent (e.g. "deploy web apps", "vercel").
discover_providerurl (required)Look up a specific provider by URL. Only use if list/search didn't help.

Always start with list_providers. If empty, use search_providers or discover_provider.

Step 2: Capabilities — Understand What's Available

ToolParametersWhen to use
list_capabilitiesprovider (required), query, agent_id, limit, cursorList capabilities for a provider.
describe_capabilityprovider, name (required), agent_idGet full definition including input schema. Always call before executing.

Step 3: Connect — Authenticate an Agent

ToolParametersWhen to use
connect_agentprovider (required), capabilities, mode, name, reason, preferred_method, login_hint, binding_message, force_newConnect an agent to a provider. Returns agent_id.

Key parameters:

  • capabilities — Array of capability names to request.
  • mode"delegated" (acts for a user, default) or "autonomous" (independent).
  • preferred_method"device_authorization" (default, opens browser) or "ciba" (backchannel notification).
  • login_hint — User email for CIBA flow.
  • force_new — Create a new connection even if one exists.

Step 4: Use the Agent

ToolParametersWhen to use
execute_capabilityagent_id, capability (required), argumentsExecute a granted capability.
agent_statusagent_id (required)Check agent status, grants, and constraints.
sign_jwtagent_id (required), capabilities, audienceSign an agent JWT for manual use.
request_capabilityagent_id, capabilities (required), reason, preferred_method, login_hint, binding_messageRequest additional capabilities.
disconnect_agentagent_id (required)Revoke an agent.
reactivate_agentagent_id (required)Reactivate an expired agent.

Host Management

ToolParametersWhen to use
enroll_hostprovider, enrollment_token (required), nameEnroll a host with a one-time token.
rotate_agent_keyagent_id (required)Rotate an agent's keypair.
rotate_host_keyissuer (required)Rotate the host keypair for a provider.

Workflow Example

Here is the standard workflow for connecting to a provider and executing a capability:

1. list_providers
   → See what providers are already known

2. search_providers({ intent: "deploy web apps" })
   → Find a provider if none are known (or discover_provider with a URL)

3. list_capabilities({ provider: "https://api.example.com" })
   → See what the provider offers

4. describe_capability({ name: "deploy_app", provider: "https://api.example.com" })
   → Understand the input schema before executing

5. connect_agent({ provider: "https://api.example.com", capabilities: ["deploy_app"], name: "deploy-bot" })
   → Authenticate and get an agent_id
   → If approval is required, the user will be prompted

6. agent_status({ agent_id: "..." })
   → Confirm the agent is active and capabilities are granted

7. execute_capability({ agent_id: "...", capability: "deploy_app", arguments: { app: "my-app", env: "production" } })
   → Run the capability with the correct arguments

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use MCP tools.
  • Always call list_providers first. This tells you what's already configured.
  • Always call describe_capability before execute_capability. You need the input schema.
  • Always call agent_status after connect_agent. The agent may be pending approval.
  • Save the agent_id returned by connect_agent — every subsequent tool needs it.
  • Use constraints when connecting to limit agent permissions — pass them in the capabilities parameter as objects with name and constraints fields.
  • Handle approval flows. When connect_agent returns approval info (device code URL or CIBA), the user must approve before the agent becomes active. Poll agent_status to check.
  • Errors return structured objects like { error: "message", code: "error_code" } — check these and retry or adjust accordingly.

Capability Constraints

When connecting, you can restrict what an agent can do with its capabilities:

{
  "provider": "https://api.example.com",
  "capabilities": [
    "read_data",
    {
      "name": "transfer_money",
      "constraints": {
        "amount": { "max": 1000, "min": 1 },
        "currency": { "in": ["USD", "EUR"] }
      }
    }
  ]
}

Constraint types: eq (exact match), min/max (numeric bounds), in/not_in (allowed/blocked values).

When to Use CLI vs MCP

  • Use MCP tools when operating inside an MCP-enabled environment (Cursor, Claude Code, Claude Desktop) — the tools are already available and integrated.
  • Use the CLI when running from a terminal directly, scripting, or when MCP is not available.
  • Both expose the same operations and share the same storage (~/.agent-auth/).

Mehr Skills von better-auth

agent-auth-cli
better-auth
Verwenden Sie die Agent Auth CLI (auth-agent), um Anbieter zu entdecken, Agents zu verbinden, Fähigkeiten zu verwalten und Operationen auszuführen. Verwenden Sie, wenn der Benutzer interagieren möchte…
official
better-icons
better-auth
Durchsuche und rufe SVGs aus über 200 Icon-Bibliotheken ab, mit CLI- und MCP-Server-Integration. Unterstützt die Suche in großen Sammlungen (Lucide, Material Design Icons, Heroicons, Tabler und über 200 weitere) mit Filterung nach Präfix und Ergebnisbegrenzung. CLI-Befehle zum Suchen von Icons, Herunterladen von Batches als SVG-Dateien und Abrufen einzelner Icons mit Farb- und Größenanpassung. MCP-Server-Tools für KI-Agenten, einschließlich intelligenter Empfehlungen, Ähnlichkeitsabgleich, Projektscanning und Batch-Icons...
official
better-auth-best-practices
better-auth
We need to translate the given text from English to German. The text is a description of a skill for Better Auth. We must preserve the name "better-auth-best-practices" but it's not in the text, so we don't include it. We translate only the text inside <text>. No extra labels, no markdown, just the translation. The text: "Complete Better Auth server and client setup with database adapters, session management, plugins, and security configuration. Covers full workflow from installation through database migration, environment variable setup, and route handler creation across multiple frameworks Supports multiple database adapters (Prisma, Drizzle, MongoDB, direct connections) with critical guidance on model vs. table naming conventions Includes session storage strategies with secondary storage (Redis/KV), cookie..." We need to translate accurately, preserving technical terms like "Better Auth", "Prisma", "Drizzle", "MongoDB", "Redis", "KV", "session management", "plugins", "database adapters", etc. Also preserve "model vs. table naming conventions". The text seems
official
create-auth-skill
better-auth
Gerüst und Implementierung der Authentifizierung in TypeScript/JavaScript-Apps mit Better Auth Framework-Erkennung, Datenbankadapter-Setup und OAuth-Integration. Erkennt Frameworks (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), Datenbanken (Prisma, Drizzle, MongoDB, rohe Treiber) und vorhandene Auth-Bibliotheken durch Projekt-Scanning. Unterstützt E-Mail/Passwort, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), Magic Links, Passkeys und Telefon-Authentifizierung mit konfigurierbarer E-Mail-Verifizierung...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — eine installierbare Fähigkeit für KI-Agenten, veröffentlicht von better-auth/skills.
official
email-and-password-best-practices
better-auth
E-Mail-Verifizierung, Passwort-Zurücksetzungsabläufe und anpassbare Passwortrichtlinien für Better Auth. Unterstützt E-Mail-Verifizierung mit optionaler Durchsetzung, um die Anmeldung bis zur Verifizierung zu blockieren, plus konfigurierbare Token-Ablaufzeiten und einmalig verwendbare Zurücksetzungs-Tokens. Passwort-Zurücksetzungsabläufe mit integrierter Sicherheit: Hintergrund-E-Mail-Versand, Schutz vor Timing-Angriffen, Dummy-Operationen bei ungültigen Anfragen und optionaler Sitzungswiderruf bei Zurücksetzung. Konfigurierbare Passwortlängenbeschränkungen (Standard 8–256 Zeichen) und benutzerdefinierte...
official
organization-best-practices
better-auth
Einrichtung einer Multi-Tenant-Organisation mit Mitgliederverwaltung, rollenbasierter Zugriffskontrolle und Teamunterstützung über Better Auth. Konfigurieren Sie Organisationen mit anpassbaren Erstellungsregeln, Mitgliedschaftsgrenzen und Eigentümerbeschränkungen; Ersteller erhalten automatisch die Eigentümerrolle. Verwalten Sie Mitglieder und Einladungen mit E-Mail-Zustellung, Ablauffenstern und teilbaren Einladungs-URLs; unterstützen Sie mehrere Rollen pro Mitglied. Definieren Sie benutzerdefinierte Rollen und Berechtigungen mit dynamischer Zugriffskontrolle; überprüfen Sie Berechtigungen...
official
two-factor-authentication-best-practices
better-auth
Multi-Faktor-Authentifizierung mit TOTP, OTP, Backup-Codes und vertrauenswürdigem Gerätemanagement für Better Auth. Unterstützt drei Verifizierungsmethoden: Authenticator-Apps (TOTP mit QR-Codes), E-Mail/SMS-Codes (OTP) und einmalige Backup-Codes. Behandelt vollständige 2FA-Anmeldeabläufe mit automatischem Sitzungsmanagement, temporären 2FA-Cookies und vertrauenswürdigem Gerätetracking mit konfigurierbarem Ablauf. Integrierte Sicherheitsfunktionen einschließlich Ratenbegrenzung (3 Anfragen pro 10 Sekunden), Verschlüsselung im Ruhezustand für Geheimnisse...
official