Tokens MCP

Visao Geral

Os Tokens MCP permitem emitir tokens de curta duracao com permissoes especificas. Em vez de compartilhar sua API key completa, voce cria um Token MCP que concede apenas o acesso necessario para um caso de uso especifico — um widget do dashboard, uma integracao de terceiros ou um cliente de IA conectado via MCP.

Tokens MCP tem o prefixo mcp_tbac_ e sao validados junto com sua API key. Quando um token expira ou e revogado, o acesso cessa imediatamente — sem necessidade de rotacao de chaves.

Por que Usar Tokens MCP?

Cenario	Sem Tokens MCP	Com Tokens MCP
Dar a um parceiro acesso somente leitura de analytics	Compartilhar API key completa	Emitir token com escopo de analytics
Conectar Claude Desktop ao gateway	Compartilhar API key completa	Emitir token com escopo MCP e expiracao
Incorporar metricas de uso em um dashboard publico	Impossivel com seguranca	Emitir token somente leitura de curta duracao
Pipeline de CI/CD que apenas roteia requisicoes	Compartilhar API key completa	Emitir token apenas de roteamento

Escopos Disponiveis

Escopo	Descricao
`mcp:tools:call`	Chamar ferramentas MCP (`route_llm_request`, `estimate_cost`, etc.)
`mcp:models:list`	Listar modelos disponiveis via MCP
`mcp:analytics:read`	Ler analytics de uso via ferramenta `get_analytics` do MCP
`gateway:route`	Rotear requisicoes LLM pelo gateway
`analytics:read`	Ler analytics via API REST
`keys:read`	Listar API keys (apenas nomes, nao valores)
`admin`	Acesso total — equivalente a uma API key (usar com parcimonia)

Combine escopos selecionando multiplos ao criar o token.

Gerando um Token

Abra o dashboard do Floopy e navegue ate Configuracoes > Tokens de Acesso
Clique em Novo Token
Digite um nome (por exemplo, claude-desktop-mcp)
Selecione os escopos desejados
Defina uma expiracao — escolha entre duraces predefinidas ou uma data customizada
Clique em Gerar
Copie o token imediatamente — ele e exibido apenas uma vez

Expiracao do Token

Os tokens podem ser configurados para expirar apos:

Duracao	Recomendado para
1 hora	Testes pontuais
24 horas	Trabalhos de automacao diarios
7 dias	Integracoes de curto prazo
30 dias	Acesso de parceiros
Nunca	Integracoes permanentes (usar com cautela)

Quando um token expira, as requisicoes que o utilizam recebem uma resposta 401 Unauthorized com a mensagem "token expired". Emita um novo token para restaurar o acesso.

Revogando um Token

Para revogar um token imediatamente:

Va ate Configuracoes > Tokens de Acesso
Encontre o token pelo nome
Clique em Revogar

Tokens revogados sao invalidados em segundos — todas as requisicoes usando esse token falharao com 401 Unauthorized. Isso e util quando um token foi comprometido ou uma parceria encerrou.

Usando um Token MCP

Passe o token como Bearer token, de forma identica a uma API key:

Authorization: Bearer tbac_seu_token_aqui

Com o SDK OpenAI:

import { OpenAI } from "openai";

const client = new OpenAI({
  baseURL: "https://api.floopy.ai/v1",
  apiKey: process.env.FLOOPY_TBAC_TOKEN,  // token tbac_...
});

Com cliente MCP:

{
  "mcpServers": {
    "floopy": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://api.floopy.ai/mcp"],
      "env": {
        "MCP_AUTH_TOKEN": "tbac_seu_token_aqui"
      }
    }
  }
}

Aplicacao de Escopos

Se um token nao possui o escopo necessario para uma operacao, o gateway retorna:

HTTP/1.1 403 Forbidden

{
  "error": {
    "code": "insufficient_scope",
    "message": "Token does not have scope: mcp:analytics:read",
    "required_scope": "mcp:analytics:read"
  }
}

Boas Praticas de Seguranca

Principio do menor privilegio Emita tokens apenas com os escopos necessarios para a tarefa. Um token que so precisa listar modelos nao deve ter acesso a gateway:route.

Janelas de expiracao curtas Prefira tokens de curta duracao a tokens permanentes. Automatize a renovacao de tokens na sua integracao em vez de emitir tokens que nunca expiram.

Um token por integracao Crie um token separado para cada servico, cliente ou parceiro. Isso permite revogar o acesso de um sem afetar os demais.

Rotacione regularmente Mesmo tokens de longa duracao devem ser rotacionados periodicamente. Defina um lembrete para regenerar tokens a cada 30 a 90 dias.

Nao registre tokens em logs Tokens MCP concedem acesso real. Trate-os como senhas — nunca os registre em logs, commite em controle de versao ou inclua em mensagens de erro.

Use o Floopy Vault para segredos MCP Ao configurar credenciais de servidor MCP em um plugin YAML, sempre use secret_ref apontando para o Floopy Vault. Nunca incorpore um Token MCP ou API key diretamente no YAML.

Log de Auditoria de Tokens

Cada uso de token e registrado no log de auditoria:

Timestamp da requisicao
Nome do token (nao o valor do token)
Escopo utilizado
Endpoint chamado
Endereco IP

Visualize o log de auditoria em Configuracoes > Tokens de Acesso > Atividade.

Disponibilidade

Os Tokens MCP estao disponiveis nos planos Pro e superiores.