agent-auth-mcp

Utilisez les outils Agent Auth MCP pour découvrir des fournisseurs, connecter des agents, gérer les capacités et exécuter des opérations via le protocole MCP. Utilisez lorsque vous travaillez…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-mcp

Agent Auth MCP Tools

You have access to Agent Auth MCP tools for interacting with Agent Auth providers. Always prefer using these MCP tools for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Starting the MCP Server

The MCP server is part of the CLI:

auth-agent mcp

Or with pre-configured providers:

auth-agent mcp --url https://api.example.com

Cursor / Claude Desktop configuration

{
  "mcpServers": {
    "auth-agent": {
      "command": "npx",
      "args": ["@auth/agent-cli", "mcp", "--url", "https://api.example.com"]
    }
  }
}

Available Tools

The MCP server exposes 17 tools. Follow the numbered workflow below.

Step 1: Discovery — Find a Provider

ToolParametersWhen to use
list_providers(none)Call this first. Lists all discovered/configured providers.
search_providersintent (required)Search the directory by name or intent (e.g. "deploy web apps", "vercel").
discover_providerurl (required)Look up a specific provider by URL. Only use if list/search didn't help.

Always start with list_providers. If empty, use search_providers or discover_provider.

Step 2: Capabilities — Understand What's Available

ToolParametersWhen to use
list_capabilitiesprovider (required), query, agent_id, limit, cursorList capabilities for a provider.
describe_capabilityprovider, name (required), agent_idGet full definition including input schema. Always call before executing.

Step 3: Connect — Authenticate an Agent

ToolParametersWhen to use
connect_agentprovider (required), capabilities, mode, name, reason, preferred_method, login_hint, binding_message, force_newConnect an agent to a provider. Returns agent_id.

Key parameters:

  • capabilities — Array of capability names to request.
  • mode"delegated" (acts for a user, default) or "autonomous" (independent).
  • preferred_method"device_authorization" (default, opens browser) or "ciba" (backchannel notification).
  • login_hint — User email for CIBA flow.
  • force_new — Create a new connection even if one exists.

Step 4: Use the Agent

ToolParametersWhen to use
execute_capabilityagent_id, capability (required), argumentsExecute a granted capability.
agent_statusagent_id (required)Check agent status, grants, and constraints.
sign_jwtagent_id (required), capabilities, audienceSign an agent JWT for manual use.
request_capabilityagent_id, capabilities (required), reason, preferred_method, login_hint, binding_messageRequest additional capabilities.
disconnect_agentagent_id (required)Revoke an agent.
reactivate_agentagent_id (required)Reactivate an expired agent.

Host Management

ToolParametersWhen to use
enroll_hostprovider, enrollment_token (required), nameEnroll a host with a one-time token.
rotate_agent_keyagent_id (required)Rotate an agent's keypair.
rotate_host_keyissuer (required)Rotate the host keypair for a provider.

Workflow Example

Here is the standard workflow for connecting to a provider and executing a capability:

1. list_providers
   → See what providers are already known

2. search_providers({ intent: "deploy web apps" })
   → Find a provider if none are known (or discover_provider with a URL)

3. list_capabilities({ provider: "https://api.example.com" })
   → See what the provider offers

4. describe_capability({ name: "deploy_app", provider: "https://api.example.com" })
   → Understand the input schema before executing

5. connect_agent({ provider: "https://api.example.com", capabilities: ["deploy_app"], name: "deploy-bot" })
   → Authenticate and get an agent_id
   → If approval is required, the user will be prompted

6. agent_status({ agent_id: "..." })
   → Confirm the agent is active and capabilities are granted

7. execute_capability({ agent_id: "...", capability: "deploy_app", arguments: { app: "my-app", env: "production" } })
   → Run the capability with the correct arguments

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use MCP tools.
  • Always call list_providers first. This tells you what's already configured.
  • Always call describe_capability before execute_capability. You need the input schema.
  • Always call agent_status after connect_agent. The agent may be pending approval.
  • Save the agent_id returned by connect_agent — every subsequent tool needs it.
  • Use constraints when connecting to limit agent permissions — pass them in the capabilities parameter as objects with name and constraints fields.
  • Handle approval flows. When connect_agent returns approval info (device code URL or CIBA), the user must approve before the agent becomes active. Poll agent_status to check.
  • Errors return structured objects like { error: "message", code: "error_code" } — check these and retry or adjust accordingly.

Capability Constraints

When connecting, you can restrict what an agent can do with its capabilities:

{
  "provider": "https://api.example.com",
  "capabilities": [
    "read_data",
    {
      "name": "transfer_money",
      "constraints": {
        "amount": { "max": 1000, "min": 1 },
        "currency": { "in": ["USD", "EUR"] }
      }
    }
  ]
}

Constraint types: eq (exact match), min/max (numeric bounds), in/not_in (allowed/blocked values).

When to Use CLI vs MCP

  • Use MCP tools when operating inside an MCP-enabled environment (Cursor, Claude Code, Claude Desktop) — the tools are already available and integrated.
  • Use the CLI when running from a terminal directly, scripting, or when MCP is not available.
  • Both expose the same operations and share the same storage (~/.agent-auth/).

Plus de skills de better-auth

agent-auth-cli
better-auth
Utilisez l'Agent Auth CLI (auth-agent) pour découvrir des fournisseurs, connecter des agents, gérer des capacités et exécuter des opérations. Utilisez lorsque l'utilisateur souhaite interagir…
official
better-icons
better-auth
Recherche et récupération de SVGs à partir de plus de 200 bibliothèques d'icônes avec intégration CLI et serveur MCP. Prend en charge la recherche dans les principales collections (Lucide, Material Design Icons, Heroicons, Tabler et plus de 200 autres) avec filtrage par préfixe et limites de résultats. Commandes CLI pour rechercher des icônes, télécharger des lots sous forme de fichiers SVG et récupérer des icônes individuelles avec personnalisation de la couleur et de la taille. Outils serveur MCP pour agents IA incluant des recommandations intelligentes, la correspondance de similarité, l'analyse de projet et le traitement par lots d'icônes...
official
better-auth-best-practices
better-auth
Configuration complète du serveur et client Better Auth avec adaptateurs de base de données, gestion des sessions, plugins et configuration de sécurité. Couvre l'ensemble du workflow, de l'installation à la migration de base de données, en passant par la configuration des variables d'environnement et la création de gestionnaires de routes pour plusieurs frameworks. Prend en charge plusieurs adaptateurs de base de données (Prisma, Drizzle, MongoDB, connexions directes) avec des conseils essentiels sur les conventions de nommage modèle/table. Inclut des stratégies de stockage des sessions avec stockage secondaire (Redis/KV), cookies...
official
create-auth-skill
better-auth
Générer et implémenter l'authentification dans des applications TypeScript/JavaScript avec détection du framework Better Auth, configuration de l'adaptateur de base de données et intégration OAuth. Détecte les frameworks (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), les bases de données (Prisma, Drizzle, MongoDB, pilotes natifs) et les bibliothèques d'authentification existantes via l'analyse du projet. Prend en charge l'authentification par email/mot de passe, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), les liens magiques, les clés d'accès et l'authentification par téléphone avec vérification configurable de l'email...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — une compétence installable pour les agents IA, publiée par better-auth/skills.
official
email-and-password-best-practices
better-auth
Vérification des e-mails, flux de réinitialisation de mot de passe et politiques de mots de passe personnalisables pour Better Auth. Prend en charge la vérification des e-mails avec application facultative pour bloquer la connexion jusqu'à vérification, ainsi que l'expiration configurable des jetons et des jetons de réinitialisation à usage unique. Flux de réinitialisation de mot de passe avec sécurité intégrée : envoi d'e-mails en arrière-plan, prévention des attaques temporelles, opérations factices sur les requêtes invalides et révocation facultative de session lors de la réinitialisation. Limites de longueur de mot de passe configurables (par défaut 8 à 256 caractères) et personnalisation...
official
organization-best-practices
better-auth
Configuration d'organisation multi-locataire avec gestion des membres, contrôle d'accès basé sur les rôles et support d'équipe via Better Auth. Configurez des organisations avec des règles de création personnalisables, des limites de membres et des contraintes de propriété ; les créateurs reçoivent automatiquement le rôle de propriétaire. Gérez les membres et les invitations avec livraison par e-mail, fenêtres d'expiration et URL d'invitation partageables ; prenez en charge plusieurs rôles par membre. Définissez des rôles et des permissions personnalisés avec contrôle d'accès dynamique ; vérifiez les permissions...
official
two-factor-authentication-best-practices
better-auth
Authentification multi-facteur avec TOTP, OTP, codes de secours et gestion des appareils de confiance pour Better Auth. Prend en charge trois méthodes de vérification : applications d'authentification (TOTP avec codes QR), codes email/SMS (OTP) et codes de secours à usage unique. Gère les flux complets de connexion 2FA avec gestion automatique des sessions, cookies 2FA temporaires et suivi des appareils de confiance avec expiration configurable. Fonctionnalités de sécurité intégrées incluant la limitation de débit (3 requêtes par 10 secondes), le chiffrement au repos des secrets...
official