@zereight/mcp-gitlab 2.1.21 → 2.1.23

package/README.ko.md

@@ -2,7 +2,7 @@
 
 [English](./README.md) | [한국어](./README.ko.md) | [简体中文](./README.zh-CN.md)
 
-> **새 기능**: 커넥션 풀링을 포함한 동적 GitLab API URL을 지원합니다. 자세한 내용은 [Dynamic API URL 문서](docs/dynamic-api-url.md)를 참고하세요.
+> **새 기능**: 커넥션 풀링을 포함한 동적 GitLab API URL을 지원합니다. 자세한 내용은 [Dynamic API URL 문서](docs/configuration/dynamic-api-url.md)를 참고하세요.
 
 [![Star History Chart](https://api.star-history.com/svg?repos=zereight/gitlab-mcp&type=Date)](https://www.star-history.com/#zereight/gitlab-mcp&Date)
 
@@ -24,14 +24,14 @@ PAT, OAuth, 읽기 전용 모드, 동적 API URL, 원격 인증을 지원하며
 
 ### 클라이언트 설정 가이드
 
-- [Claude Code 설정 가이드](./docs/claude-code-setup.md)
-- [VS Code 설정 가이드](./docs/vscode-setup.md)
-- [GitHub Copilot 설정 가이드](./docs/copilot-setup.md)
-- [Codex 설정 가이드](./docs/codex-setup.md)
-- [Cursor 설정 가이드](./docs/cursor-setup.md)
-- [JSON 기반 MCP 클라이언트 설정 가이드](./docs/json-mcp-clients-setup.md) - Factory AI Droid, OpenClaw, OpenCode 스타일 클라이언트용
-- [OAuth2 인증 설정 가이드](./docs/oauth-setup.md)
-- [환경 변수 레퍼런스](./docs/environment-variables.md)
+- [Claude Code 설정 가이드](./docs/clients/claude-code.md)
+- [VS Code 설정 가이드](./docs/clients/vscode.md)
+- [GitHub Copilot 설정 가이드](./docs/clients/copilot.md)
+- [Codex 설정 가이드](./docs/clients/codex.md)
+- [Cursor 설정 가이드](./docs/clients/cursor.md)
+- [JSON 기반 MCP 클라이언트 설정 가이드](./docs/clients/json-clients.md) - Factory AI Droid, OpenClaw, OpenCode 스타일 클라이언트용
+- [OAuth2 인증 설정 가이드](./docs/auth/oauth-setup.md)
+- [환경 변수 레퍼런스](./docs/configuration/environment-variables.md)
 
 ## 사용법
 
@@ -53,13 +53,13 @@ PAT, OAuth, 읽기 전용 모드, 동적 API URL, 원격 인증을 지원하며
 
 #### 빠른 설정 경로
 
-- **Claude Code**: [Claude Code 설정 가이드](./docs/claude-code-setup.md)
-- **VS Code**: [VS Code 설정 가이드](./docs/vscode-setup.md)
-- **GitHub Copilot**: [GitHub Copilot 설정 가이드](./docs/copilot-setup.md)
-- **Codex**: [Codex 설정 가이드](./docs/codex-setup.md)
-- **Cursor**: [Cursor 설정 가이드](./docs/cursor-setup.md)
-- **Factory AI Droid / OpenClaw / OpenCode 스타일 클라이언트**: [JSON 기반 MCP 클라이언트 설정 가이드](./docs/json-mcp-clients-setup.md)
-- **OAuth 브라우저 플로우 상세**: [OAuth2 인증 설정 가이드](./docs/oauth-setup.md)
+- **Claude Code**: [Claude Code 설정 가이드](./docs/clients/claude-code.md)
+- **VS Code**: [VS Code 설정 가이드](./docs/clients/vscode.md)
+- **GitHub Copilot**: [GitHub Copilot 설정 가이드](./docs/clients/copilot.md)
+- **Codex**: [Codex 설정 가이드](./docs/clients/codex.md)
+- **Cursor**: [Cursor 설정 가이드](./docs/clients/cursor.md)
+- **Factory AI Droid / OpenClaw / OpenCode 스타일 클라이언트**: [JSON 기반 MCP 클라이언트 설정 가이드](./docs/clients/json-clients.md)
+- **OAuth 브라우저 플로우 상세**: [OAuth2 인증 설정 가이드](./docs/auth/oauth-setup.md)
 
 가장 단순한 로컬 설정은 Personal Access Token으로 시작하세요. 브라우저 기반 로컬 인증은 OAuth2를 사용하세요. 원격 또는 멀티 유저 배포는 아래 MCP OAuth 및 원격 인증 섹션을 참고하세요.
 
@@ -163,10 +163,10 @@ OpenCode, MCPJam, Claude.ai 같은 원격 MCP 클라이언트는 인증 중에
 
 원격 MCP OAuth는 다릅니다. `GITLAB_MCP_OAUTH=true` 모드에서는 MCP 클라이언트가 `/authorize` 요청 중에 자체 callback URL을 제공합니다. `GITLAB_OAUTH_REDIRECT_URI`는 그 클라이언트 제공 URL을 대체하지 않습니다.
 
-| 모드 | 활성화 변수 | Callback 변수 | GitLab Redirect URI |
-| --- | --- | --- | --- |
-| 로컬 OAuth | `GITLAB_USE_OAUTH=true` | `GITLAB_OAUTH_REDIRECT_URI` | `http://127.0.0.1:8888/callback` 또는 로컬 callback |
-| 원격 MCP OAuth | `GITLAB_MCP_OAUTH=true` | `GITLAB_OAUTH_CALLBACK_PROXY=true` | `{MCP_SERVER_URL}/callback` |
+| 모드           | 활성화 변수             | Callback 변수                      | GitLab Redirect URI                                 |
+| -------------- | ----------------------- | ---------------------------------- | --------------------------------------------------- |
+| 로컬 OAuth     | `GITLAB_USE_OAUTH=true` | `GITLAB_OAUTH_REDIRECT_URI`        | `http://127.0.0.1:8888/callback` 또는 로컬 callback |
+| 원격 MCP OAuth | `GITLAB_MCP_OAUTH=true` | `GITLAB_OAUTH_CALLBACK_PROXY=true` | `{MCP_SERVER_URL}/callback`                         |
 
 MCP 서버가 직접 로컬 브라우저 callback을 받을 때만 `GITLAB_OAUTH_REDIRECT_URI`를 사용하세요. 원격 MCP 클라이언트가 callback URL을 소유하는 경우에는 `GITLAB_OAUTH_CALLBACK_PROXY=true`를 사용하세요.
 
@@ -178,16 +178,16 @@ MCP 서버가 직접 로컬 브라우저 callback을 받을 때만 `GITLAB_OAUTH
 2. `api` 또는 `read_api` scope가 있는 사전 등록 GitLab OAuth 애플리케이션
    — `Admin area` → `Applications`에서 Redirect URI를 `{MCP_SERVER_URL}/callback`으로 설정하세요.
 
-| 환경 변수 | 필수 | 설명 |
-| --- | --- | --- |
-| `GITLAB_MCP_OAUTH` | 예 | 활성화하려면 `true` |
-| `GITLAB_API_URL` | 예 | GitLab API base URL |
-| `GITLAB_OAUTH_APP_ID` | 예 | GitLab OAuth Application ID |
-| `MCP_SERVER_URL` | 예 | 이 MCP 서버의 공개 HTTPS URL |
-| `STREAMABLE_HTTP` | 예 | 반드시 `true` |
-| `GITLAB_OAUTH_CALLBACK_PROXY` | 선택 | MCP 서버의 고정 `/callback` URL을 사용하려면 `true` |
-| `GITLAB_OAUTH_SCOPES` | 선택 | 쉼표로 구분된 scope 목록(기본값: `api,read_api,read_user`) |
-| `GITLAB_ALLOWED_GROUPS` | 선택 | 쉼표로 구분된 GitLab 그룹 전체 경로 — 해당 그룹 및 하위 그룹 멤버만 토큰을 발급받을 수 있음 |
+| 환경 변수                     | 필수 | 설명                                                       |
+| ----------------------------- | ---- | ---------------------------------------------------------- |
+| `GITLAB_MCP_OAUTH`            | 예   | 활성화하려면 `true`                                        |
+| `GITLAB_API_URL`              | 예   | GitLab API base URL                                        |
+| `GITLAB_OAUTH_APP_ID`         | 예   | GitLab OAuth Application ID                                |
+| `MCP_SERVER_URL`              | 예   | 이 MCP 서버의 공개 HTTPS URL                               |
+| `STREAMABLE_HTTP`             | 예   | 반드시 `true`                                              |
+| `GITLAB_OAUTH_CALLBACK_PROXY` | 선택 | MCP 서버의 고정 `/callback` URL을 사용하려면 `true`        |
+| `GITLAB_OAUTH_SCOPES`         | 선택 | 쉼표로 구분된 scope 목록(기본값: `api,read_api,read_user`) |
+| `GITLAB_OAUTH_ALLOWED_GROUPS` | 선택 | 쉼표로 구분된 GitLab 그룹 전체 경로 — 해당 그룹 및 하위 그룹 멤버만 토큰을 발급받을 수 있음 (기존 `GITLAB_ALLOWED_GROUPS` 대체) |
 
 > **`Unregistered redirect_uri` 문제 해결**
 >
@@ -233,10 +233,10 @@ MCP 클라이언트 설정:
 
 **헤더 우선순위**: `Private-Token` > `JOB-TOKEN` > `Authorization: Bearer`
 
-| 환경 변수 | 필수 | 설명 |
-| --- | --- | --- |
-| `REMOTE_AUTHORIZATION` | 예 | 활성화하려면 `true` |
-| `STREAMABLE_HTTP` | 예 | 반드시 `true` |
+| 환경 변수                | 필수 | 설명                                |
+| ------------------------ | ---- | ----------------------------------- |
+| `REMOTE_AUTHORIZATION`   | 예   | 활성화하려면 `true`                 |
+| `STREAMABLE_HTTP`        | 예   | 반드시 `true`                       |
 | `ENABLE_DYNAMIC_API_URL` | 선택 | 요청별 `X-GitLab-API-URL` 헤더 허용 |
 
 **예시 요청 헤더:**
@@ -257,7 +257,7 @@ Authorization: Bearer glpat-xxxxxxxxxxxxxxxxxxxx
 
 전체 환경 변수 목록은 전용 문서를 참고하세요.
 
-- [환경 변수 레퍼런스](./docs/environment-variables.md)
+- [환경 변수 레퍼런스](./docs/configuration/environment-variables.md)
 
 대부분의 사용자는 아래 시작 조합 중 하나만 필요합니다.
 
@@ -283,7 +283,7 @@ Authorization: Bearer glpat-xxxxxxxxxxxxxxxxxxxx
 - 전송 및 세션 변수
 - 프록시 및 TLS 변수
 
-콜백 프록시 모드 상세는 [GitLab MCP OAuth Callback Proxy](./docs/oauth-callback-proxy.md)를 참고하세요.
+콜백 프록시 모드 상세는 [GitLab MCP OAuth Callback Proxy](./docs/auth/oauth-callback-proxy.md)를 참고하세요.
 
 ### 원격 인증 설정(멀티 유저 지원)
 
@@ -411,15 +411,15 @@ node build/index.js
 
 **환경 변수:**
 
-| 변수 | 필수 | 설명 |
-| --- | --- | --- |
-| `GITLAB_MCP_OAUTH` | 예 | 활성화하려면 `true` |
-| `GITLAB_OAUTH_APP_ID` | 예 | 사전 등록 GitLab OAuth 애플리케이션의 client ID |
-| `MCP_SERVER_URL` | 예 | MCP 서버의 공개 HTTPS URL |
-| `GITLAB_API_URL` | 예 | GitLab 인스턴스 API URL(예: `https://gitlab.com/api/v4`) |
-| `STREAMABLE_HTTP` | 예 | 반드시 `true`(SSE 미지원) |
-| `GITLAB_OAUTH_SCOPES` | 아니오 | 요청할 GitLab scope 목록(쉼표 구분). 기본값은 `api` 또는 `GITLAB_READ_ONLY_MODE=true`일 때 `read_api`입니다. 사전 등록 애플리케이션에 해당 scope가 설정되어 있어야 합니다. |
-| `MCP_DANGEROUSLY_ALLOW_INSECURE_ISSUER_URL` | 아니오 | 로컬 HTTP 개발에서만 `true` |
+| 변수                                        | 필수   | 설명                                                                                                                                                                       |
+| ------------------------------------------- | ------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
+| `GITLAB_MCP_OAUTH`                          | 예     | 활성화하려면 `true`                                                                                                                                                        |
+| `GITLAB_OAUTH_APP_ID`                       | 예     | 사전 등록 GitLab OAuth 애플리케이션의 client ID                                                                                                                            |
+| `MCP_SERVER_URL`                            | 예     | MCP 서버의 공개 HTTPS URL                                                                                                                                                  |
+| `GITLAB_API_URL`                            | 예     | GitLab 인스턴스 API URL(예: `https://gitlab.com/api/v4`)                                                                                                                   |
+| `STREAMABLE_HTTP`                           | 예     | 반드시 `true`(SSE 미지원)                                                                                                                                                  |
+| `GITLAB_OAUTH_SCOPES`                       | 아니오 | 요청할 GitLab scope 목록(쉼표 구분). 기본값은 `api` 또는 `GITLAB_READ_ONLY_MODE=true`일 때 `read_api`입니다. 사전 등록 애플리케이션에 해당 scope가 설정되어 있어야 합니다. |
+| `MCP_DANGEROUSLY_ALLOW_INSECURE_ISSUER_URL` | 아니오 | 로컬 HTTP 개발에서만 `true`                                                                                                                                                |
 
 **중요 사항:**
 

package/README.md

@@ -2,7 +2,9 @@
 
 [English](./README.md) | [한국어](./README.ko.md) | [简体中文](./README.zh-CN.md)
 
-> **New Feature**: Dynamic GitLab API URL support with connection pooling! See [Dynamic API URL Documentation](docs/dynamic-api-url.md) for details.
+📖 **[Read the full documentation →](https://zereight.github.io/gitlab-mcp/)**
+
+> **New Feature**: Dynamic GitLab API URL support with connection pooling! See [Dynamic API URL Documentation](docs/configuration/dynamic-api-url.md) for details.
 
 [![Star History Chart](https://api.star-history.com/svg?repos=zereight/gitlab-mcp&type=Date)](https://www.star-history.com/#zereight/gitlab-mcp&Date)
 
@@ -24,16 +26,16 @@ Quick start: choose either Personal Access Token or OAuth2 setup below and use `
 
 ### Client Setup Guides
 
-- [Claude Code Setup Guide](./docs/claude-code-setup.md)
-- [VS Code Setup Guide](./docs/vscode-setup.md)
-- [GitHub Copilot Setup Guide](./docs/copilot-setup.md)
-- [Codex Setup Guide](./docs/codex-setup.md)
-- [Cursor Setup Guide](./docs/cursor-setup.md)
-- [JSON-Based MCP Clients Setup Guide](./docs/json-mcp-clients-setup.md) - for Factory AI Droid, OpenClaw, and OpenCode style clients
-- [OAuth2 Authentication Setup Guide](./docs/oauth-setup.md)
-- [Environment Variables Reference](./docs/environment-variables.md)
-- [Stateless Mode — Multi-Pod HPA](./docs/stateless-mode.md)
-- [Custom Agents and Multiple PAT Setup](./docs/custom-agent-multiple-pat.md)
+- [Claude Code Setup Guide](./docs/clients/claude-code.md)
+- [VS Code Setup Guide](./docs/clients/vscode.md)
+- [GitHub Copilot Setup Guide](./docs/clients/copilot.md)
+- [Codex Setup Guide](./docs/clients/codex.md)
+- [Cursor Setup Guide](./docs/clients/cursor.md)
+- [JSON-Based MCP Clients Setup Guide](./docs/clients/json-clients.md) - for Factory AI Droid, OpenClaw, and OpenCode style clients
+- [OAuth2 Authentication Setup Guide](./docs/auth/oauth-setup.md)
+- [Environment Variables Reference](./docs/configuration/environment-variables.md)
+- [Stateless Mode — Multi-Pod HPA](./docs/configuration/stateless-mode.md)
+- [Custom Agents and Multiple PAT Setup](./docs/auth/custom-agent-multiple-pat.md)
 
 ## Usage
 
@@ -55,13 +57,13 @@ The server supports four authentication methods:
 
 #### Quick setup paths
 
-- **Claude Code**: see [Claude Code Setup Guide](./docs/claude-code-setup.md)
-- **VS Code**: see [VS Code Setup Guide](./docs/vscode-setup.md)
-- **GitHub Copilot**: see [GitHub Copilot Setup Guide](./docs/copilot-setup.md)
-- **Codex**: see [Codex Setup Guide](./docs/codex-setup.md)
-- **Cursor**: see [Cursor Setup Guide](./docs/cursor-setup.md)
-- **Factory AI Droid / OpenClaw / OpenCode style clients**: see [JSON-Based MCP Clients Setup Guide](./docs/json-mcp-clients-setup.md)
-- **OAuth browser flow details**: see [OAuth2 Authentication Setup Guide](./docs/oauth-setup.md)
+- **Claude Code**: see [Claude Code Setup Guide](./docs/clients/claude-code.md)
+- **VS Code**: see [VS Code Setup Guide](./docs/clients/vscode.md)
+- **GitHub Copilot**: see [GitHub Copilot Setup Guide](./docs/clients/copilot.md)
+- **Codex**: see [Codex Setup Guide](./docs/clients/codex.md)
+- **Cursor**: see [Cursor Setup Guide](./docs/clients/cursor.md)
+- **Factory AI Droid / OpenClaw / OpenCode style clients**: see [JSON-Based MCP Clients Setup Guide](./docs/clients/json-clients.md)
+- **OAuth browser flow details**: see [OAuth2 Authentication Setup Guide](./docs/auth/oauth-setup.md)
 
 For the simplest local setup, start with a Personal Access Token. For browser-based local auth, use OAuth2. For remote or multi-user deployments, continue to the MCP OAuth and Remote Authorization sections later in this README.
 
@@ -208,7 +210,7 @@ exchanging credentials with GitLab on behalf of the client.
 | `STREAMABLE_HTTP`     | ✅       | Must be `true`                                             |
 | `GITLAB_OAUTH_CALLBACK_PROXY` | optional | Set to `true` to use the MCP server's fixed `/callback` URL |
 | `GITLAB_OAUTH_SCOPES` | optional | Comma-separated scopes (default: `api,read_api,read_user`) |
-| `GITLAB_ALLOWED_GROUPS` | optional | Comma-separated group full paths — only members (and subgroup members) may obtain a token |
+| `GITLAB_OAUTH_ALLOWED_GROUPS` | optional | Comma-separated group full paths — only members (and subgroup members) may obtain a token (replaces deprecated `GITLAB_ALLOWED_GROUPS`) |
 
 When `STREAMABLE_HTTP=true`, server-side `GITLAB_PERSONAL_ACCESS_TOKEN` or `GITLAB_JOB_TOKEN` require `REMOTE_AUTHORIZATION=true` or `GITLAB_MCP_OAUTH=true`.
 
@@ -265,6 +267,17 @@ the token to GitLab on behalf of the caller.
 | `REMOTE_AUTHORIZATION`   | ✅       | Set to `true` to enable                                    |
 | `STREAMABLE_HTTP`        | ✅       | Must be `true`                                             |
 | `ENABLE_DYNAMIC_API_URL` | optional | Allow per-request GitLab URL via `X-GitLab-API-URL` header |
+| `MCP_TRUST_PROXY`        | optional | Trust `Forwarded` / `X-Forwarded-*` headers behind a reverse proxy (download URLs, Express `req.ip`, OAuth rate limits) |
+
+When `MCP_SERVER_URL` is not set, remote download URLs fall back to the local
+server address. Set `MCP_TRUST_PROXY=true` only if the server is reachable through a
+trusted reverse proxy and direct client access to the MCP server is blocked.
+This enables Express `trust proxy` for Streamable HTTP and SSE, derives public
+download URLs from `Forwarded` / `X-Forwarded-Proto` / `X-Forwarded-Host` /
+`X-Forwarded-Prefix`, and keeps OAuth endpoint rate limiting working when
+proxies send `X-Forwarded-For` with a client port (for example `1.2.3.4:5678`).
+Existing OAuth+proxy deployments must set this explicitly after the flag was
+introduced.
 
 **Example request headers**:
 
@@ -284,14 +297,14 @@ Authorization: Bearer glpat-xxxxxxxxxxxxxxxxxxxx
 
 Use the dedicated reference for the full environment variable list:
 
-- [Environment Variables Reference](./docs/environment-variables.md)
+- [Environment Variables Reference](./docs/configuration/environment-variables.md)
 
 Most users only need one of these starting sets:
 
 - **Local PAT**: `GITLAB_PERSONAL_ACCESS_TOKEN`, `GITLAB_API_URL`
 - **Local OAuth**: `GITLAB_USE_OAUTH=true`, `GITLAB_OAUTH_CLIENT_ID`, `GITLAB_OAUTH_REDIRECT_URI`, `GITLAB_API_URL`
 - **Remote multi-user HTTP**: `STREAMABLE_HTTP=true`, `REMOTE_AUTHORIZATION=true`, `HOST`, `PORT`
-- **Multi-pod HPA (stateless)**: above + `OAUTH_STATELESS_MODE=true`, `OAUTH_STATELESS_SECRET` (same across all pods). See [Stateless Mode](./docs/stateless-mode.md).
+- **Multi-pod HPA (stateless)**: above + `OAUTH_STATELESS_MODE=true`, `OAUTH_STATELESS_SECRET` (same across all pods). See [Stateless Mode](./docs/configuration/stateless-mode.md).
 
 Commonly referenced variables:
 
@@ -299,6 +312,7 @@ Commonly referenced variables:
 - `GITLAB_PERSONAL_ACCESS_TOKEN`
 - `GITLAB_USE_OAUTH`
 - `REMOTE_AUTHORIZATION`
+- `MCP_TRUST_PROXY`
 - `GITLAB_MCP_OAUTH`
 - `GITLAB_OAUTH_CALLBACK_PROXY`
 - `OAUTH_STATELESS_MODE`
@@ -313,7 +327,7 @@ The reference document also covers:
 - transport and session variables
 - proxy and TLS variables
 
-For callback proxy mode details, see [GitLab MCP OAuth Callback Proxy](./docs/oauth-callback-proxy.md).
+For callback proxy mode details, see [GitLab MCP OAuth Callback Proxy](./docs/auth/oauth-callback-proxy.md).
 
 ### Remote Authorization Setup (Multi-User Support)
 

package/README.zh-CN.md

@@ -2,7 +2,7 @@
 
 [English](./README.md) | [한국어](./README.ko.md) | [简体中文](./README.zh-CN.md)
 
-> **新功能**：支持带连接池的动态 GitLab API URL。详情请参阅 [Dynamic API URL 文档](docs/dynamic-api-url.md)。
+> **新功能**：支持带连接池的动态 GitLab API URL。详情请参阅 [Dynamic API URL 文档](docs/configuration/dynamic-api-url.md)。
 
 [![Star History Chart](https://api.star-history.com/svg?repos=zereight/gitlab-mcp&type=Date)](https://www.star-history.com/#zereight/gitlab-mcp&Date)
 
@@ -24,14 +24,14 @@
 
 ### 客户端设置指南
 
-- [Claude Code 设置指南](./docs/claude-code-setup.md)
-- [VS Code 设置指南](./docs/vscode-setup.md)
-- [GitHub Copilot 设置指南](./docs/copilot-setup.md)
-- [Codex 设置指南](./docs/codex-setup.md)
-- [Cursor 设置指南](./docs/cursor-setup.md)
-- [基于 JSON 的 MCP 客户端设置指南](./docs/json-mcp-clients-setup.md) - 适用于 Factory AI Droid、OpenClaw 和 OpenCode 风格客户端
-- [OAuth2 认证设置指南](./docs/oauth-setup.md)
-- [环境变量参考](./docs/environment-variables.md)
+- [Claude Code 设置指南](./docs/clients/claude-code.md)
+- [VS Code 设置指南](./docs/clients/vscode.md)
+- [GitHub Copilot 设置指南](./docs/clients/copilot.md)
+- [Codex 设置指南](./docs/clients/codex.md)
+- [Cursor 设置指南](./docs/clients/cursor.md)
+- [基于 JSON 的 MCP 客户端设置指南](./docs/clients/json-clients.md) - 适用于 Factory AI Droid、OpenClaw 和 OpenCode 风格客户端
+- [OAuth2 认证设置指南](./docs/auth/oauth-setup.md)
+- [环境变量参考](./docs/configuration/environment-variables.md)
 
 ## 使用方法
 
@@ -53,13 +53,13 @@
 
 #### 快速设置路径
 
-- **Claude Code**：[Claude Code 设置指南](./docs/claude-code-setup.md)
-- **VS Code**：[VS Code 设置指南](./docs/vscode-setup.md)
-- **GitHub Copilot**：[GitHub Copilot 设置指南](./docs/copilot-setup.md)
-- **Codex**：[Codex 设置指南](./docs/codex-setup.md)
-- **Cursor**：[Cursor 设置指南](./docs/cursor-setup.md)
-- **Factory AI Droid / OpenClaw / OpenCode 风格客户端**：[基于 JSON 的 MCP 客户端设置指南](./docs/json-mcp-clients-setup.md)
-- **OAuth 浏览器流程详情**：[OAuth2 认证设置指南](./docs/oauth-setup.md)
+- **Claude Code**：[Claude Code 设置指南](./docs/clients/claude-code.md)
+- **VS Code**：[VS Code 设置指南](./docs/clients/vscode.md)
+- **GitHub Copilot**：[GitHub Copilot 设置指南](./docs/clients/copilot.md)
+- **Codex**：[Codex 设置指南](./docs/clients/codex.md)
+- **Cursor**：[Cursor 设置指南](./docs/clients/cursor.md)
+- **Factory AI Droid / OpenClaw / OpenCode 风格客户端**：[基于 JSON 的 MCP 客户端设置指南](./docs/clients/json-clients.md)
+- **OAuth 浏览器流程详情**：[OAuth2 认证设置指南](./docs/auth/oauth-setup.md)
 
 最简单的本地设置可以从 Personal Access Token 开始。基于浏览器的本地认证使用 OAuth2。远程或多用户部署请继续查看下面的 MCP OAuth 和远程授权部分。
 
@@ -163,10 +163,10 @@ OpenCode、MCPJam、Claude.ai 等远程 MCP 客户端可能会在授权时发送
 
 远程 MCP OAuth 不同。在 `GITLAB_MCP_OAUTH=true` 模式下，MCP 客户端会在 `/authorize` 请求中提供自己的 callback URL。`GITLAB_OAUTH_REDIRECT_URI` 不会替换这个客户端提供的 URL。
 
-| 模式 | 启用方式 | Callback 变量 | GitLab Redirect URI |
-| --- | --- | --- | --- |
-| 本地 OAuth | `GITLAB_USE_OAUTH=true` | `GITLAB_OAUTH_REDIRECT_URI` | `http://127.0.0.1:8888/callback` 或你的本地 callback |
-| 远程 MCP OAuth | `GITLAB_MCP_OAUTH=true` | `GITLAB_OAUTH_CALLBACK_PROXY=true` | `{MCP_SERVER_URL}/callback` |
+| 模式           | 启用方式                | Callback 变量                      | GitLab Redirect URI                                  |
+| -------------- | ----------------------- | ---------------------------------- | ---------------------------------------------------- |
+| 本地 OAuth     | `GITLAB_USE_OAUTH=true` | `GITLAB_OAUTH_REDIRECT_URI`        | `http://127.0.0.1:8888/callback` 或你的本地 callback |
+| 远程 MCP OAuth | `GITLAB_MCP_OAUTH=true` | `GITLAB_OAUTH_CALLBACK_PROXY=true` | `{MCP_SERVER_URL}/callback`                          |
 
 只有当 MCP 服务器自己接收本地浏览器 callback 时，才使用 `GITLAB_OAUTH_REDIRECT_URI`。当远程 MCP 客户端拥有 callback URL 时，请使用 `GITLAB_OAUTH_CALLBACK_PROXY=true`。
 
@@ -178,16 +178,16 @@ OpenCode、MCPJam、Claude.ai 等远程 MCP 客户端可能会在授权时发送
 2. 预先注册的 GitLab OAuth 应用，包含 `api` 或 `read_api` scopes
    — 前往 `Admin area` → `Applications`，将 Redirect URI 设置为 `{MCP_SERVER_URL}/callback`
 
-| 环境变量 | 必需 | 说明 |
-| --- | --- | --- |
-| `GITLAB_MCP_OAUTH` | 是 | 设置为 `true` 以启用 |
-| `GITLAB_API_URL` | 是 | GitLab API base URL |
-| `GITLAB_OAUTH_APP_ID` | 是 | GitLab OAuth Application ID |
-| `MCP_SERVER_URL` | 是 | 此 MCP 服务器的公开 HTTPS URL |
-| `STREAMABLE_HTTP` | 是 | 必须为 `true` |
+| 环境变量                      | 必需 | 说明                                                  |
+| ----------------------------- | ---- | ----------------------------------------------------- |
+| `GITLAB_MCP_OAUTH`            | 是   | 设置为 `true` 以启用                                  |
+| `GITLAB_API_URL`              | 是   | GitLab API base URL                                   |
+| `GITLAB_OAUTH_APP_ID`         | 是   | GitLab OAuth Application ID                           |
+| `MCP_SERVER_URL`              | 是   | 此 MCP 服务器的公开 HTTPS URL                         |
+| `STREAMABLE_HTTP`             | 是   | 必须为 `true`                                         |
 | `GITLAB_OAUTH_CALLBACK_PROXY` | 可选 | 设置为 `true` 时使用 MCP 服务器固定的 `/callback` URL |
-| `GITLAB_OAUTH_SCOPES` | 可选 | 逗号分隔的 scope（默认：`api,read_api,read_user`） |
-| `GITLAB_ALLOWED_GROUPS` | 可选 | 逗号分隔的 GitLab 群组完整路径 — 仅该群组及其子群组的成员可获取令牌 |
+| `GITLAB_OAUTH_SCOPES`         | 可选 | 逗号分隔的 scope（默认：`api,read_api,read_user`）    |
+| `GITLAB_OAUTH_ALLOWED_GROUPS` | 可选 | 逗号分隔的 GitLab 群组完整路径 — 仅该群组及其子群组的成员可获取令牌（替代已废弃的 `GITLAB_ALLOWED_GROUPS`）|
 
 > **排查 `Unregistered redirect_uri`**
 >
@@ -233,10 +233,10 @@ MCP 客户端配置：
 
 **请求头优先级**：`Private-Token` > `JOB-TOKEN` > `Authorization: Bearer`
 
-| 环境变量 | 必需 | 说明 |
-| --- | --- | --- |
-| `REMOTE_AUTHORIZATION` | 是 | 设置为 `true` 以启用 |
-| `STREAMABLE_HTTP` | 是 | 必须为 `true` |
+| 环境变量                 | 必需 | 说明                                                    |
+| ------------------------ | ---- | ------------------------------------------------------- |
+| `REMOTE_AUTHORIZATION`   | 是   | 设置为 `true` 以启用                                    |
+| `STREAMABLE_HTTP`        | 是   | 必须为 `true`                                           |
 | `ENABLE_DYNAMIC_API_URL` | 可选 | 允许按请求通过 `X-GitLab-API-URL` 请求头指定 GitLab URL |
 
 **示例请求头：**
@@ -257,7 +257,7 @@ Authorization: Bearer glpat-xxxxxxxxxxxxxxxxxxxx
 
 完整环境变量列表请查看专门的参考文档：
 
-- [环境变量参考](./docs/environment-variables.md)
+- [环境变量参考](./docs/configuration/environment-variables.md)
 
 大多数用户只需要以下起始组合之一：
 
@@ -283,7 +283,7 @@ Authorization: Bearer glpat-xxxxxxxxxxxxxxxxxxxx
 - 传输和会话变量
 - 代理和 TLS 变量
 
-回调代理模式详情请参阅 [GitLab MCP OAuth Callback Proxy](./docs/oauth-callback-proxy.md)。
+回调代理模式详情请参阅 [GitLab MCP OAuth Callback Proxy](./docs/auth/oauth-callback-proxy.md)。
 
 ### 远程授权设置（多用户支持）
 
@@ -411,15 +411,15 @@ node build/index.js
 
 **环境变量：**
 
-| 变量 | 必需 | 说明 |
-| --- | --- | --- |
-| `GITLAB_MCP_OAUTH` | 是 | 设置为 `true` 以启用 |
-| `GITLAB_OAUTH_APP_ID` | 是 | 预先注册的 GitLab OAuth 应用 client ID |
-| `MCP_SERVER_URL` | 是 | MCP 服务器的公开 HTTPS URL |
-| `GITLAB_API_URL` | 是 | GitLab 实例 API URL（例如 `https://gitlab.com/api/v4`） |
-| `STREAMABLE_HTTP` | 是 | 必须为 `true`（不支持 SSE） |
-| `GITLAB_OAUTH_SCOPES` | 否 | 要请求的 GitLab scopes，以逗号分隔。默认值为 `api`，当 `GITLAB_READ_ONLY_MODE=true` 时为 `read_api`。预注册应用必须配置至少这些 scopes。 |
-| `MCP_DANGEROUSLY_ALLOW_INSECURE_ISSUER_URL` | 否 | 仅用于本地 HTTP 开发 |
+| 变量                                        | 必需 | 说明                                                                                                                                     |
+| ------------------------------------------- | ---- | ---------------------------------------------------------------------------------------------------------------------------------------- |
+| `GITLAB_MCP_OAUTH`                          | 是   | 设置为 `true` 以启用                                                                                                                     |
+| `GITLAB_OAUTH_APP_ID`                       | 是   | 预先注册的 GitLab OAuth 应用 client ID                                                                                                   |
+| `MCP_SERVER_URL`                            | 是   | MCP 服务器的公开 HTTPS URL                                                                                                               |
+| `GITLAB_API_URL`                            | 是   | GitLab 实例 API URL（例如 `https://gitlab.com/api/v4`）                                                                                  |
+| `STREAMABLE_HTTP`                           | 是   | 必须为 `true`（不支持 SSE）                                                                                                              |
+| `GITLAB_OAUTH_SCOPES`                       | 否   | 要请求的 GitLab scopes，以逗号分隔。默认值为 `api`，当 `GITLAB_READ_ONLY_MODE=true` 时为 `read_api`。预注册应用必须配置至少这些 scopes。 |
+| `MCP_DANGEROUSLY_ALLOW_INSECURE_ISSUER_URL` | 否   | 仅用于本地 HTTP 开发                                                                                                                     |
 
 **重要说明：**
 

package/build/config.js

@@ -47,6 +47,7 @@ export const SSE = getConfig("sse", "SSE") === "true";
 export const STREAMABLE_HTTP = getConfig("streamable-http", "STREAMABLE_HTTP") === "true";
 export const REMOTE_AUTHORIZATION = getConfig("remote-auth", "REMOTE_AUTHORIZATION") === "true";
 export const GITLAB_MCP_OAUTH = getConfig("mcp-oauth", "GITLAB_MCP_OAUTH") === "true";
+export const MCP_TRUST_PROXY = getConfig("mcp-trust-proxy", "MCP_TRUST_PROXY") === "true";
 // ---------------------------------------------------------------------------
 // OAuth / MCP OAuth
 // ---------------------------------------------------------------------------
@@ -57,8 +58,13 @@ export const GITLAB_OAUTH_SCOPES = GITLAB_OAUTH_SCOPES_RAW
     ? GITLAB_OAUTH_SCOPES_RAW.split(",").map((s) => s.trim()).filter(Boolean)
     : undefined;
 export const GITLAB_OAUTH_CALLBACK_PROXY = getConfig("oauth-callback-proxy", "GITLAB_OAUTH_CALLBACK_PROXY") === "true";
-export const GITLAB_ALLOWED_GROUPS = (() => {
-    const raw = getConfig("allowed-groups", "GITLAB_ALLOWED_GROUPS");
+/** @deprecated Use GITLAB_OAUTH_ALLOWED_GROUPS_RAW instead. Will be removed in the next major version. */
+export const GITLAB_ALLOWED_GROUPS_RAW = getConfig("allowed-groups", "GITLAB_ALLOWED_GROUPS");
+export const GITLAB_OAUTH_ALLOWED_GROUPS_RAW = getConfig("oauth-allowed-groups", "GITLAB_OAUTH_ALLOWED_GROUPS");
+export const GITLAB_OAUTH_ALLOWED_GROUPS = (() => {
+    const newVar = GITLAB_OAUTH_ALLOWED_GROUPS_RAW;
+    const oldVar = GITLAB_ALLOWED_GROUPS_RAW;
+    const raw = newVar ?? oldVar;
     if (!raw)
         return undefined;
     const groups = raw.split(",").map((g) => g.trim()).filter(Boolean);