agent-auth-mcp

Используйте инструменты Agent Auth MCP для обнаружения провайдеров, подключения агентов, управления возможностями и выполнения операций через протокол MCP. Используйте при работе…

npx skills add https://github.com/better-auth/agent-auth --skill agent-auth-mcp

Agent Auth MCP Tools

You have access to Agent Auth MCP tools for interacting with Agent Auth providers. Always prefer using these MCP tools for any agent authentication operations rather than making raw HTTP requests or writing custom code.

Starting the MCP Server

The MCP server is part of the CLI:

auth-agent mcp

Or with pre-configured providers:

auth-agent mcp --url https://api.example.com

Cursor / Claude Desktop configuration

{
  "mcpServers": {
    "auth-agent": {
      "command": "npx",
      "args": ["@auth/agent-cli", "mcp", "--url", "https://api.example.com"]
    }
  }
}

Available Tools

The MCP server exposes 17 tools. Follow the numbered workflow below.

Step 1: Discovery — Find a Provider

ToolParametersWhen to use
list_providers(none)Call this first. Lists all discovered/configured providers.
search_providersintent (required)Search the directory by name or intent (e.g. "deploy web apps", "vercel").
discover_providerurl (required)Look up a specific provider by URL. Only use if list/search didn't help.

Always start with list_providers. If empty, use search_providers or discover_provider.

Step 2: Capabilities — Understand What's Available

ToolParametersWhen to use
list_capabilitiesprovider (required), query, agent_id, limit, cursorList capabilities for a provider.
describe_capabilityprovider, name (required), agent_idGet full definition including input schema. Always call before executing.

Step 3: Connect — Authenticate an Agent

ToolParametersWhen to use
connect_agentprovider (required), capabilities, mode, name, reason, preferred_method, login_hint, binding_message, force_newConnect an agent to a provider. Returns agent_id.

Key parameters:

  • capabilities — Array of capability names to request.
  • mode"delegated" (acts for a user, default) or "autonomous" (independent).
  • preferred_method"device_authorization" (default, opens browser) or "ciba" (backchannel notification).
  • login_hint — User email for CIBA flow.
  • force_new — Create a new connection even if one exists.

Step 4: Use the Agent

ToolParametersWhen to use
execute_capabilityagent_id, capability (required), argumentsExecute a granted capability.
agent_statusagent_id (required)Check agent status, grants, and constraints.
sign_jwtagent_id (required), capabilities, audienceSign an agent JWT for manual use.
request_capabilityagent_id, capabilities (required), reason, preferred_method, login_hint, binding_messageRequest additional capabilities.
disconnect_agentagent_id (required)Revoke an agent.
reactivate_agentagent_id (required)Reactivate an expired agent.

Host Management

ToolParametersWhen to use
enroll_hostprovider, enrollment_token (required), nameEnroll a host with a one-time token.
rotate_agent_keyagent_id (required)Rotate an agent's keypair.
rotate_host_keyissuer (required)Rotate the host keypair for a provider.

Workflow Example

Here is the standard workflow for connecting to a provider and executing a capability:

1. list_providers
   → See what providers are already known

2. search_providers({ intent: "deploy web apps" })
   → Find a provider if none are known (or discover_provider with a URL)

3. list_capabilities({ provider: "https://api.example.com" })
   → See what the provider offers

4. describe_capability({ name: "deploy_app", provider: "https://api.example.com" })
   → Understand the input schema before executing

5. connect_agent({ provider: "https://api.example.com", capabilities: ["deploy_app"], name: "deploy-bot" })
   → Authenticate and get an agent_id
   → If approval is required, the user will be prompted

6. agent_status({ agent_id: "..." })
   → Confirm the agent is active and capabilities are granted

7. execute_capability({ agent_id: "...", capability: "deploy_app", arguments: { app: "my-app", env: "production" } })
   → Run the capability with the correct arguments

Important Rules

  • Never make raw HTTP requests to Agent Auth endpoints. Always use MCP tools.
  • Always call list_providers first. This tells you what's already configured.
  • Always call describe_capability before execute_capability. You need the input schema.
  • Always call agent_status after connect_agent. The agent may be pending approval.
  • Save the agent_id returned by connect_agent — every subsequent tool needs it.
  • Use constraints when connecting to limit agent permissions — pass them in the capabilities parameter as objects with name and constraints fields.
  • Handle approval flows. When connect_agent returns approval info (device code URL or CIBA), the user must approve before the agent becomes active. Poll agent_status to check.
  • Errors return structured objects like { error: "message", code: "error_code" } — check these and retry or adjust accordingly.

Capability Constraints

When connecting, you can restrict what an agent can do with its capabilities:

{
  "provider": "https://api.example.com",
  "capabilities": [
    "read_data",
    {
      "name": "transfer_money",
      "constraints": {
        "amount": { "max": 1000, "min": 1 },
        "currency": { "in": ["USD", "EUR"] }
      }
    }
  ]
}

Constraint types: eq (exact match), min/max (numeric bounds), in/not_in (allowed/blocked values).

When to Use CLI vs MCP

  • Use MCP tools when operating inside an MCP-enabled environment (Cursor, Claude Code, Claude Desktop) — the tools are already available and integrated.
  • Use the CLI when running from a terminal directly, scripting, or when MCP is not available.
  • Both expose the same operations and share the same storage (~/.agent-auth/).

Больше skills от better-auth

agent-auth-cli
better-auth
Используйте Agent Auth CLI (auth-agent) для обнаружения провайдеров, подключения агентов, управления возможностями и выполнения операций. Используйте, когда пользователь хочет взаимодействовать…
official
better-icons
better-auth
Поиск и получение SVG из 200+ библиотек иконок с интеграцией CLI и MCP-сервера. Поддерживает поиск по основным коллекциям (Lucide, Material Design Icons, Heroicons, Tabler и более 200 других) с фильтрацией по префиксу и ограничением результатов. Команды CLI для поиска иконок, пакетной загрузки в виде SVG-файлов и получения отдельных иконок с настройкой цвета и размера. Инструменты MCP-сервера для AI-агентов, включая интеллектуальные рекомендации, поиск похожих, сканирование проектов и пакетную обработку иконок...
official
better-auth-best-practices
better-auth
Полная настройка сервера и клиента Better Auth с адаптерами баз данных, управлением сессиями, плагинами и конфигурацией безопасности. Охватывает полный рабочий процесс от установки до миграции базы данных, настройки переменных окружения и создания обработчиков маршрутов для нескольких фреймворков. Поддерживает множество адаптеров баз данных (Prisma, Drizzle, MongoDB, прямые подключения) с критическими рекомендациями по соглашениям об именовании моделей и таблиц. Включает стратегии хранения сессий с вторичным хранилищем (Redis/KV), cookie...
official
create-auth-skill
better-auth
Создание и внедрение аутентификации в TypeScript/JavaScript приложениях с обнаружением фреймворка Better Auth, настройкой адаптера базы данных и интеграцией OAuth. Обнаруживает фреймворки (Next.js, SvelteKit, Nuxt, Astro, Express, Hono), базы данных (Prisma, Drizzle, MongoDB, сырые драйверы) и существующие библиотеки аутентификации через сканирование проекта. Поддерживает email/пароль, OAuth (Google, GitHub, Apple, Microsoft, Discord, Twitter), magic-ссылки, passkeys и телефонную аутентификацию с настраиваемой проверкой email...
official
Email & Password Best Practices
better-auth
email-&-password-best-practices — устанавливаемый навык для AI-агентов, опубликованный better-auth/skills.
official
email-and-password-best-practices
better-auth
Email verification, password reset flows, and customizable password policies for Better Auth. Supports email verification with optional enforcement to block sign-in until verified, plus configurable token expiration and single-use reset tokens Password reset flows with built-in security: background email sending, timing attack prevention, dummy operations on invalid requests, and optional session revocation on reset Configurable password length limits (default 8–256 characters) and custom...
official
organization-best-practices
better-auth
Настройка мультитенантной организации с управлением участниками, контролем доступа на основе ролей и поддержкой команд через Better Auth. Настройка организаций с настраиваемыми правилами создания, ограничениями на количество участников и ограничениями владения; создатели автоматически получают роль владельца. Управление участниками и приглашениями с доставкой по электронной почте, окнами истечения срока действия и общими URL-адресами приглашений; поддержка нескольких ролей на участника. Определение пользовательских ролей и разрешений с динамическим контролем доступа; проверка разрешений...
official
two-factor-authentication-best-practices
better-auth
Многофакторная аутентификация с TOTP, OTP, резервными кодами и управлением доверенными устройствами для Better Auth. Поддерживает три метода проверки: приложения-аутентификаторы (TOTP с QR-кодами), коды по электронной почте/SMS (OTP) и одноразовые резервные коды. Обрабатывает полные потоки входа с 2FA с автоматическим управлением сессиями, временными cookie для 2FA и отслеживанием доверенных устройств с настраиваемым сроком действия. Встроенные функции безопасности, включая ограничение скорости (3 запроса за 10 секунд), шифрование хранящихся секретов...
official