> ## Documentation Index
> Fetch the complete documentation index at: https://craft-support.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# MCP 安全

> 了解保护你 Craft MCP 连接的多层安全措施。

Craft MCP 工具受多层安全保护，既保证你的内容安全，又让你授权的工具可以访问。

## 安全层

### 1. 基于空间的 MCP 服务器管理

MCP 服务器与空间绑定，因此只有已登录且对该空间有访问权限的 Craft 用户才能管理其 MCP 设置。在个人订阅下，只有你可以管理你的 MCP 服务器。

### 2. 私密 MCP 链接

每个 MCP 链接都包含一个经过加密安全生成的随机不可猜测字符串。此机制无需任何配置即自动生效。即使没有设置密码保护（即“公开”访问），MCP 连接也只有在你明确分享 URL 的人或能访问该空间的用户才能使用。

### 3. 可选密码保护（OAuth 2.0）

如果你担心可能会意外泄露 URL，可以添加密码保护。在 Imagine 页面设置密码后，首次连接 MCP 客户端（例如 ChatGPT、Claude）时需要输入该密码。

<Info title="OAuth 配置">
  某些 MCP 客户端会要求提供 "OAuth Client ID" 和 "OAuth Client Secret"。对 Craft MCP 来说可以将这些字段留空。**我们的密码保护使用 OAuth 2.0 结合 [动态客户端注册](https://oauth.net/2/dynamic-client-registration/)，因此除了 URL 和密码外无需任何预配置凭证。**
</Info>

我们选择基于密码的认证，是因为其他 OAuth 方法（例如预共享的客户端密钥）从用户体验角度不够方便，而基于密码的认证仍然提供了两种密钥（秘密链接和密码）。

### 4. 读取/写入 权限

你可以将代理限制为仅可读取或仅可写入，从而限制其可执行的操作。

### 5. 访问范围限制

你可以限制代理的访问范围为：

* 一组预定义的文档
* 空间内的每日笔记和任务
* 特定的文件夹（v3.3.5+）
* 符合搜索条件的文档（v3.3.5+）

## 嵌入内容的保护

这些安全层同样保护文档中的内容，包括指向文件和图片的链接。由于部分 MCP 客户端的支持有限，文件和图片没有单独的身份验证；但其不可猜测的链接只有在对 MCP 服务器进行身份验证后才能被检索。

**当你更改 MCP 服务器的密码时，文件和图片的链接会被轮换**，以确保之前分享的链接失效。

## 最佳实践

* 对访问敏感内容的 MCP 连接启用密码保护
* 定期检查并轮换 MCP 密码
* 将连接范围限制为仅所需的文档
* 在不需要写入访问时使用只读权限
* 在空间设置中监控 MCP 连接的使用情况