agent-auth-mcp

Usa las herramientas de Agent Auth MCP para descubrir proveedores, conectar agentes, gestionar capacidades y ejecutar operaciones a través del protocolo MCP. Úsalo al trabajar…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-mcp

Agent Auth MCP Tools

You have access to Agent Auth MCP tools for interacting with Agent Auth providers. Always prefer using these MCP tools for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Starting the MCP Server

The MCP server is part of the CLI:

auth-agent mcp

Or with pre-configured providers:

auth-agent mcp --url https://api.example.com

Cursor / Claude Desktop configuration

{
  "mcpServers": {
    "auth-agent": {
      "command": "npx",
      "args": ["@auth/agent-cli", "mcp", "--url", "https://api.example.com"]
    }
  }
}

Available Tools

The MCP server exposes 17 tools. Follow the numbered workflow below.

Step 1: Discovery — Find a Provider

ToolParametersWhen to use
list_providers(none)Call this first. Lists all discovered/configured providers.
search_providersintent (required)Search the directory by name or intent (e.g. "deploy web apps", "vercel").
discover_providerurl (required)Look up a specific provider by URL. Only use if list/search didn't help.

Always start with list_providers. If empty, use search_providers or discover_provider.

Step 2: Capabilities — Understand What's Available

ToolParametersWhen to use
list_capabilitiesprovider (required), query, agent_id, limit, cursorList capabilities for a provider.
describe_capabilityprovider, name (required), agent_idGet full definition including input schema. Always call before executing.

Step 3: Connect — Authenticate an Agent

ToolParametersWhen to use
connect_agentprovider (required), capabilities, mode, name, reason, preferred_method, login_hint, binding_message, force_newConnect an agent to a provider. Returns agent_id.

Key parameters:

  • capabilities — Array of capability names to request.
  • mode"delegated" (acts for a user, default) or "autonomous" (independent).
  • preferred_method"device_authorization" (default, opens browser) or "ciba" (backchannel notification).
  • login_hint — User email for CIBA flow.
  • force_new — Create a new connection even if one exists.

Step 4: Use the Agent

ToolParametersWhen to use
execute_capabilityagent_id, capability (required), argumentsExecute a granted capability.
agent_statusagent_id (required)Check agent status, grants, and constraints.
sign_jwtagent_id (required), capabilities, audienceSign an agent JWT for manual use.
request_capabilityagent_id, capabilities (required), reason, preferred_method, login_hint, binding_messageRequest additional capabilities.
disconnect_agentagent_id (required)Revoke an agent.
reactivate_agentagent_id (required)Reactivate an expired agent.

Host Management

ToolParametersWhen to use
enroll_hostprovider, enrollment_token (required), nameEnroll a host with a one-time token.
rotate_agent_keyagent_id (required)Rotate an agent's keypair.
rotate_host_keyissuer (required)Rotate the host keypair for a provider.

Workflow Example

Here is the standard workflow for connecting to a provider and executing a capability:

1. list_providers
   → See what providers are already known

2. search_providers({ intent: "deploy web apps" })
   → Find a provider if none are known (or discover_provider with a URL)

3. list_capabilities({ provider: "https://api.example.com" })
   → See what the provider offers

4. describe_capability({ name: "deploy_app", provider: "https://api.example.com" })
   → Understand the input schema before executing

5. connect_agent({ provider: "https://api.example.com", capabilities: ["deploy_app"], name: "deploy-bot" })
   → Authenticate and get an agent_id
   → If approval is required, the user will be prompted

6. agent_status({ agent_id: "..." })
   → Confirm the agent is active and capabilities are granted

7. execute_capability({ agent_id: "...", capability: "deploy_app", arguments: { app: "my-app", env: "production" } })
   → Run the capability with the correct arguments

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use MCP tools.
  • Always call list_providers first. This tells you what's already configured.
  • Always call describe_capability before execute_capability. You need the input schema.
  • Always call agent_status after connect_agent. The agent may be pending approval.
  • Save the agent_id returned by connect_agent — every subsequent tool needs it.
  • Use constraints when connecting to limit agent permissions — pass them in the capabilities parameter as objects with name and constraints fields.
  • Handle approval flows. When connect_agent returns approval info (device code URL or CIBA), the user must approve before the agent becomes active. Poll agent_status to check.
  • Errors return structured objects like { error: "message", code: "error_code" } — check these and retry or adjust accordingly.

Capability Constraints

When connecting, you can restrict what an agent can do with its capabilities:

{
  "provider": "https://api.example.com",
  "capabilities": [
    "read_data",
    {
      "name": "transfer_money",
      "constraints": {
        "amount": { "max": 1000, "min": 1 },
        "currency": { "in": ["USD", "EUR"] }
      }
    }
  ]
}

Constraint types: eq (exact match), min/max (numeric bounds), in/not_in (allowed/blocked values).

When to Use CLI vs MCP

  • Use MCP tools when operating inside an MCP-enabled environment (Cursor, Claude Code, Claude Desktop) — the tools are already available and integrated.
  • Use the CLI when running from a terminal directly, scripting, or when MCP is not available.
  • Both expose the same operations and share the same storage (~/.agent-auth/).

Más skills de better-auth

agent-auth-cli
better-auth
Usa la CLI de autenticación de agente (auth-agent) para descubrir proveedores, conectar agentes, gestionar capacidades y ejecutar operaciones. Úsala cuando el usuario quiera interactuar…
official
better-icons
better-auth
Busca y recupera SVGs de más de 200 bibliotecas de iconos con integración de CLI y servidor MCP. Soporta búsqueda en colecciones principales (Lucide, Material Design Icons, Heroicons, Tabler y más de 200) con filtrado por prefijo y límite de resultados. Comandos CLI para buscar iconos, descargar lotes como archivos SVG y recuperar iconos individuales con personalización de color y tamaño. Herramientas de servidor MCP para agentes de IA, incluyendo recomendaciones inteligentes, coincidencia de similitud, escaneo de proyectos y lotes de iconos...
official
better-auth-best-practices
better-auth
Configuración completa del servidor y cliente de Better Auth con adaptadores de base de datos, gestión de sesiones, plugins y configuración de seguridad. Cubre el flujo de trabajo completo desde la instalación hasta la migración de la base de datos, configuración de variables de entorno y creación de manejadores de rutas en múltiples frameworks. Soporta múltiples adaptadores de base de datos (Prisma, Drizzle, MongoDB, conexiones directas) con orientación crítica sobre convenciones de nombres de modelos vs. tablas. Incluye estrategias de almacenamiento de sesiones con almacenamiento secundario (Redis/KV), cookies...
official
create-auth-skill
better-auth
Andamia e implementa autenticación en aplicaciones TypeScript/JavaScript con detección del framework Better Auth, configuración del adaptador de base de datos e integración OAuth. Detecta frameworks (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), bases de datos (Prisma, Drizzle, MongoDB, drivers nativos) y bibliotecas de autenticación existentes mediante escaneo del proyecto. Soporta correo electrónico/contraseña, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), enlaces mágicos, passkeys y autenticación telefónica con verificación de correo configurable...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — una habilidad instalable para agentes de IA, publicada por better-auth/skills.
official
email-and-password-best-practices
better-auth
Verificación de correo electrónico, flujos de restablecimiento de contraseña y políticas de contraseña personalizables para Better Auth. Soporta verificación de correo electrónico con aplicación opcional para bloquear el inicio de sesión hasta que se verifique, además de caducidad de token configurable y tokens de restablecimiento de un solo uso. Flujos de restablecimiento de contraseña con seguridad integrada: envío de correo electrónico en segundo plano, prevención de ataques de sincronización, operaciones ficticias en solicitudes no válidas y revocación opcional de sesión al restablecer. Límites de longitud de contraseña configurables (predeterminado de 8 a 256 caracteres) y personalizados...
official
organization-best-practices
better-auth
Configuración de organización multiinquilino con gestión de miembros, control de acceso basado en roles y soporte de equipos a través de Better Auth. Configure organizaciones con reglas de creación personalizables, límites de membresía y restricciones de propiedad; los creadores reciben automáticamente el rol de propietario. Gestione miembros e invitaciones con entrega por correo electrónico, ventanas de expiración y URL de invitación compartibles; soporte para múltiples roles por miembro. Defina roles y permisos personalizados con control de acceso dinámico; verifique permisos...
official
two-factor-authentication-best-practices
better-auth
Autenticación multifactor con TOTP, OTP, códigos de respaldo y gestión de dispositivos confiables para Better Auth. Soporta tres métodos de verificación: aplicaciones de autenticación (TOTP con códigos QR), códigos por correo electrónico/SMS (OTP) y códigos de respaldo de un solo uso. Maneja flujos completos de inicio de sesión con 2FA, incluyendo gestión automática de sesiones, cookies temporales de 2FA y seguimiento de dispositivos confiables con caducidad configurable. Funciones de seguridad integradas que incluyen limitación de velocidad (3 solicitudes por cada 10 segundos) y cifrado en reposo para secretos...
official