webcake-landing-mcp 1.0.8 → 1.0.9

package/README.md

@@ -54,15 +54,18 @@ valid element/page skeletons, a page validator, and tools to create or edit page
 The AI agent produces the full `{ page, popup, settings, options, cartConfigs }` JSON; `create_page`
 persists it (source-only — the page opens in the editor where re-saving renders it).
 
-## Two ways to run
+## Setup methods (pick one)
 
-| Mode | Command | When |
-|------|---------|------|
-| **CDN / npx** (no clone) | `npx -y webcake-landing-mcp` | Fastest start — npm fetches & runs it, no clone or build. Auto-updates to the latest published version. |
-| **Local** (cloned build) | `node /abs/path/dist/index.js` | Hacking on the server, offline, or pinning a specific build. Run `npm run build` first. |
+| # | Method | Best for | Auth | Jump to |
+|---|--------|----------|------|---------|
+| 1 | **Local stdio** — add to an IDE (Claude Desktop / Cursor / …) via `npx` or a built file | Daily use on your machine | env `WEBCAKE_JWT`, or `login`, or none (reference tools) | [IDE config](#configuration-by-ide--ai-tool) |
+| 2 | **`login`** — grab the token through the browser (no copy-paste) | Avoiding a manual token paste (stdio / single-user remote) | browser session → saved `auth.json` | [Connect once](#connect-once--grab-your-token-automatically-login) |
+| 3 | **Remote HTTP (`serve`)** — run as an HTTP server, test with MCP Inspector / `mcp-remote` / curl | Trying the remote transport locally | per-request `x-webcake-jwt` header, or env | [Remote](#run-as-a-remote-connector-streamable-http) |
+| 4 | **VPS + claude.ai connector** — deploy public HTTPS, add as a custom connector | Sharing one hosted server | single-account (env token); per-user needs OAuth (not implemented) | [Deploy on a VPS](#deploy-on-a-vps) |
 
-Both expose the exact same tools. Every IDE config below shows the **local** form; to use **CDN** mode,
-just swap `command`/`args` for the npx form (see [Run without cloning](#run-without-cloning-npx)).
+Two **run forms** apply to any method: **`npx -y webcake-landing-mcp …`** (no clone, auto-updates) or **`node /abs/path/dist/index.js …`** (a cloned build — run `npm run build` first). The IDE configs below show the local form; swap `command`/`args` for the npx form to use CDN mode.
+
+The **reference + generation tools** (`get_generation_guide`, `list_elements`, `validate_page`, …) work with **zero config**; only the **persistence tools** (`create_page`, `update_page`, `list_pages`, `get_page`, `list_organizations`) need a token. Credentials resolve in order: **per-request header → env var → saved `auth.json`** (`login`).
 
 ## Quick Install (Recommended)
 
@@ -202,6 +205,12 @@ host), then in Claude → **Add custom connector**:
 - **Name**: `webcake-landing`
 - **Remote MCP server URL**: `https://<your-host>/mcp`
 
+The dialog has no header field, so to pass a token through it, **put it in the URL**:
+`https://<your-host>/mcp?jwt=<ljwt>` (also accepts `&api_base=…`, `&org_id=…`, `&host=…`, `&app_base=…`).
+Give each person a URL with their own `jwt` → **per-user without OAuth**. An explicit `x-webcake-jwt` header
+still wins over the query. ⚠️ A token in a URL can land in access/proxy logs — require **HTTPS** and disable
+query-string logging on your reverse proxy; a header (or OAuth) is safer when the client supports it.
+
 ### Auth — per-request, multi-user (no shared token)
 
 In stdio mode the JWT comes from env. In HTTP mode each request carries the caller's **own** credentials
@@ -222,9 +231,54 @@ by setting `WEBCAKE_API_BASE` + `WEBCAKE_JWT` in the host's env and keeping the
 > no secret; only the persistence tools (`create_page`, `update_page`, …) use the JWT. If a request has no
 > JWT, those tools return `missing_env` instead of touching the network.
 >
-> Note: the basic claude.ai connector dialog may not let you set custom headers (it offers OAuth, which this
-> server does not implement yet). For the header-based flow, use a client/proxy that can inject headers, or
-> run single-user with env vars behind a private URL.
+> Note: the claude.ai connector dialog has **no header field** (only OAuth, which this server does not
+> implement yet). Two ways around it: put the token in the URL as `?jwt=<ljwt>` (above — per-user, but the
+> token shows up in logs), or use a header-capable client (`mcp-remote --header …`, below). A token in the
+> server's env instead gives a shared **single-account** for everyone on that URL.
+
+### Test it locally (no public URL needed)
+
+`localhost` can't be used in the claude.ai dialog (Anthropic fetches the URL from its own servers). To try the
+running `serve` server on your machine:
+
+- **MCP Inspector** (GUI — easiest): `npx @modelcontextprotocol/inspector` → Transport **Streamable HTTP** →
+  URL `http://localhost:8787/mcp` → under Headers add `x-webcake-jwt` (+ `x-webcake-api-base`) → Connect → call tools.
+- **`mcp-remote`** (use the remote server from a stdio client like Claude Desktop, with headers):
+  ```json
+  { "mcpServers": { "webcake-remote": { "command": "npx",
+    "args": ["-y", "mcp-remote", "http://localhost:8787/mcp",
+             "--header", "x-webcake-jwt:<ljwt>",
+             "--header", "x-webcake-api-base:https://api.webcake.io"] } } }
+  ```
+- **curl**: `initialize` (read the `mcp-session-id` response header) → `tools/list` → `tools/call`, all with
+  `Accept: application/json, text/event-stream`.
+
+### Deploy on a VPS
+
+1. **Build + run as a service** — `/etc/systemd/system/webcake-mcp.service`:
+   ```ini
+   [Service]
+   WorkingDirectory=/opt/webcake-landing-mcp
+   ExecStart=/usr/bin/node dist/index.js serve --port 8787
+   Environment=WEBCAKE_API_BASE=https://api.webcake.io
+   Environment=WEBCAKE_JWT=<ljwt>          # single-account only — see auth note below
+   Restart=always
+   [Install]
+   WantedBy=multi-user.target
+   ```
+   `sudo systemctl enable --now webcake-mcp` (build once: `npm install && npm run build`).
+2. **HTTPS + domain** (claude.ai requires https) — e.g. Caddy auto-TLS, `/etc/caddy/Caddyfile`:
+   ```
+   mcp.yourdomain.com { reverse_proxy localhost:8787 }
+   ```
+3. **Add to claude.ai** → Remote MCP server URL = `https://mcp.yourdomain.com/mcp`.
+
+**Auth on a shared server:**
+- **Single-account** (works with the dialog today): `WEBCAKE_JWT` in the service env → everyone using the
+  connector shares that one Webcake account. Keep the URL private / gated; the token expires (~90 days).
+- **Per-user** (each person their own account): give each person a URL with their own `?jwt=<ljwt>` (works
+  through the dialog, but the token appears in logs), or use a header-capable client (`mcp-remote --header …`),
+  or add **OAuth** (not implemented) for the cleanest flow.
 
 ## Manual Setup (local)
 
@@ -257,9 +311,9 @@ It opens your browser → (log into Webcake if needed) → the token is saved to
 `~/.webcake-landing-mcp/auth.json`, which the server then reads automatically.
 
 You're already logged in to Webcake in your browser, so `login` just opens a Webcake "connect"
-page that reads your `jwt` cookie server-side and hands the token back to a localhost callback —
+page that reads your **`ljwt`** (landing) cookie and hands the token back to a localhost callback —
 no copy-paste. The saved token is used by **both** the stdio server and a single-user `serve`
-deployment (env vars still take precedence). JWTs last 90–365 days, so you rarely reconnect.
+deployment (env vars still take precedence). The landing JWT lasts ~90 days, so you rarely reconnect.
 
 Two URLs, don't mix them up:
 
@@ -276,12 +330,14 @@ Other flags: `--org-id`, `--port`, `--no-open`. Saved-file dir: `WEBCAKE_CONFIG_
 
 ```
 GET /mcp-connect?redirect_uri=<loopback>&state=<s>
-   → read the `jwt` cookie (the logged-in user's token)
-   → 302 to  <redirect_uri>?token=<jwt>&state=<s>
+   → read the `ljwt` cookie (the logged-in user's landing token)
+   → 302 to  <redirect_uri>?token=<ljwt>&state=<s>
    (if there's no cookie: 302 to the login page first, then back here)
 ```
 
 For safety, only honor `redirect_uri` values on `http://127.0.0.1:*` / `http://localhost:*`.
+(Reference implementation: `builderx_spa/src/views/McpConnect.vue` reads `cookies.get('ljwt')` — so this
+flow can also be done entirely in the SPA, no backend route needed.)
 
 > Multi-user remote (the claude.ai connector dialog) can't do this browser loopback — there each
 > user sends their own token via the `x-webcake-jwt` header (see the remote-connector section above).

package/README.vi.md

@@ -55,15 +55,18 @@ element/trang hợp lệ, bộ kiểm tra trang, và các tool để tạo/sửa
 `{ page, popup, settings, options, cartConfigs }`; `create_page` lưu nó (chỉ-source — trang mở trong editor,
 lưu lại sẽ render).
 
-## Hai cách chạy
+## Các cách setup (chọn một)
 
-| Chế độ | Lệnh | Khi nào |
-|------|------|------|
-| **CDN / npx** (không clone) | `npx -y webcake-landing-mcp` | Khởi động nhanh nhất — npm tự tải & chạy, không cần clone hay build. Tự cập nhật bản mới nhất. |
-| **Local** (clone & build) | `node /abs/path/dist/index.js` | Khi đang sửa server, offline, hoặc cần ghim một bản build cụ thể. Chạy `npm run build` trước. |
+| # | Cách | Hợp cho | Auth | Xem |
+|---|------|---------|------|-----|
+| 1 | **Local stdio** — gắn vào IDE (Claude Desktop / Cursor / …) qua `npx` hoặc file build | Dùng hằng ngày trên máy | env `WEBCAKE_JWT`, hoặc `login`, hoặc không cần (tool tham chiếu) | [Cấu hình IDE](#cấu-hình-theo-ide--công-cụ-ai) |
+| 2 | **`login`** — tự lấy token qua browser (khỏi copy-paste) | Khỏi dán token tay (stdio / remote 1 người) | session browser → file `auth.json` | [Kết nối một lần](#kết-nối-một-lần--tự-lấy-token-login) |
+| 3 | **Remote HTTP (`serve`)** — chạy như HTTP server, test bằng MCP Inspector / `mcp-remote` / curl | Thử transport remote ở local | header `x-webcake-jwt` mỗi request, hoặc env | [Remote](#chạy-như-remote-connector-streamable-http) |
+| 4 | **VPS + claude.ai connector** — deploy HTTPS public, thêm làm custom connector | Chia sẻ 1 server hosted | single-account (token env); per-user cần OAuth (chưa có) | [Deploy lên VPS](#deploy-lên-vps) |
 
-Cả hai cùng expose y hệt các tool. Mọi cấu hình IDE bên dưới dùng dạng **local**; để dùng **CDN**, chỉ cần
-đổi `command`/`args` sang dạng npx (xem [Chạy không cần clone (npx)](#chạy-không-cần-clone-npx)).
+Hai **dạng chạy** áp dụng cho mọi cách: **`npx -y webcake-landing-mcp …`** (không clone, tự cập nhật) hoặc **`node /abs/path/dist/index.js …`** (bản đã clone & build — chạy `npm run build` trước). Cấu hình IDE bên dưới dùng dạng local; đổi `command`/`args` sang dạng npx để dùng CDN.
+
+Các **tool tham chiếu + generation** (`get_generation_guide`, `list_elements`, `validate_page`, …) chạy **zero config**; chỉ **tool lưu trữ** (`create_page`, `update_page`, `list_pages`, `get_page`, `list_organizations`) mới cần token. Token ưu tiên theo thứ tự: **header mỗi request → biến env → file `auth.json`** (`login`).
 
 ## Cài nhanh (Khuyến nghị)
 
@@ -184,6 +187,97 @@ Cấu hình MCP giống bản local, chỉ khác `command`/`args` trỏ tới `n
 > npx cache lại package sau lần chạy đầu, nên các lần sau khởi động nhanh. Dùng phiên bản ghim
 > (`webcake-landing-mcp@1.0.0`) nếu cần build tái lập được.
 
+## Chạy như remote connector (Streamable HTTP)
+
+Server còn nói được transport **remote MCP** (Streamable HTTP), nên có thể thêm qua dialog
+**"Add custom connector"** của Claude bằng một URL — không chỉ stdio local.
+
+Chạy chế độ HTTP (port mặc định `8787`, hoặc đặt `PORT` / `--port`):
+
+```bash
+npx -y webcake-landing-mcp serve --port 8787
+# → endpoint MCP tại http://localhost:8787/mcp   (GET / hoặc /health trả JSON trạng thái)
+```
+
+Đưa ra **HTTPS** ở URL public (reverse proxy, tunnel như `ngrok http 8787`, hoặc host bất kỳ), rồi vào
+Claude → **Add custom connector**:
+
+- **Name**: `webcake-landing`
+- **Remote MCP server URL**: `https://<host-của-bạn>/mcp`
+
+Dialog không có ô header, nên muốn truyền token qua đó thì **để vào URL**:
+`https://<host-của-bạn>/mcp?jwt=<ljwt>` (nhận thêm `&api_base=…`, `&org_id=…`, `&host=…`, `&app_base=…`).
+Mỗi người một URL với `jwt` riêng → **per-user mà không cần OAuth**. Header `x-webcake-jwt` thật vẫn ưu tiên
+hơn query. ⚠️ Token nằm trong URL có thể lọt vào access/proxy log — **bắt buộc HTTPS** và tắt log query ở
+reverse proxy; dùng header (hoặc OAuth) an toàn hơn nếu client hỗ trợ.
+
+### Auth — mỗi request, đa người dùng (không token chung)
+
+Ở stdio JWT lấy từ env. Ở chế độ HTTP, mỗi request mang credential **riêng** của người gọi qua header,
+nên server hosted là đa người dùng và không nhúng secret chung:
+
+| Header | Tương ứng | Ghi chú |
+|--------|-----------|---------|
+| `x-webcake-jwt` (hoặc `Authorization: Bearer <jwt>`) | `WEBCAKE_JWT` | token tài khoản — gửi mỗi request |
+| `x-webcake-org-id` | `WEBCAKE_ORG_ID` | org mặc định |
+| `x-webcake-api-base` | `WEBCAKE_API_BASE` | thường set 1 lần qua env trên host |
+| `x-webcake-app-base` | `WEBCAKE_APP_BASE` | base URL editor/preview |
+
+Header nào thiếu thì fallback về biến env tương ứng — nên cũng chạy **một người dùng** được bằng cách đặt
+`WEBCAKE_API_BASE` + `WEBCAKE_JWT` trong env của host và giữ URL riêng tư.
+
+> ⚠️ Tool tham chiếu + generation (`get_generation_guide`, `list_elements`, `validate_page`, …) không cần
+> secret; chỉ tool lưu trữ (`create_page`, `update_page`, …) dùng JWT. Request không có JWT thì các tool đó
+> trả `missing_env` chứ không gọi mạng.
+>
+> Lưu ý: dialog claude.ai **không có ô header** (chỉ có OAuth, mà server này **chưa làm**). Hai cách lách:
+> để token vào URL dạng `?jwt=<ljwt>` (như trên — per-user, nhưng token lộ trong log), hoặc dùng client hỗ trợ
+> header (`mcp-remote --header …`, bên dưới). Đặt token ở env server thì thành **single-account** chung cho mọi người trên URL đó.
+
+### Test ở local (không cần URL public)
+
+`localhost` không dùng được trong dialog claude.ai (Anthropic gọi URL từ server của họ). Để thử server `serve`
+chạy trên máy:
+
+- **MCP Inspector** (GUI — dễ nhất): `npx @modelcontextprotocol/inspector` → Transport **Streamable HTTP** →
+  URL `http://localhost:8787/mcp` → mục Headers thêm `x-webcake-jwt` (+ `x-webcake-api-base`) → Connect → bấm gọi tool.
+- **`mcp-remote`** (dùng server remote từ client stdio như Claude Desktop, kèm header):
+  ```json
+  { "mcpServers": { "webcake-remote": { "command": "npx",
+    "args": ["-y", "mcp-remote", "http://localhost:8787/mcp",
+             "--header", "x-webcake-jwt:<ljwt>",
+             "--header", "x-webcake-api-base:https://api.webcake.io"] } } }
+  ```
+- **curl**: `initialize` (đọc header `mcp-session-id` trả về) → `tools/list` → `tools/call`, tất cả kèm
+  `Accept: application/json, text/event-stream`.
+
+### Deploy lên VPS
+
+1. **Build + chạy như service** — `/etc/systemd/system/webcake-mcp.service`:
+   ```ini
+   [Service]
+   WorkingDirectory=/opt/webcake-landing-mcp
+   ExecStart=/usr/bin/node dist/index.js serve --port 8787
+   Environment=WEBCAKE_API_BASE=https://api.webcake.io
+   Environment=WEBCAKE_JWT=<ljwt>          # chỉ cho single-account — xem ghi chú auth dưới
+   Restart=always
+   [Install]
+   WantedBy=multi-user.target
+   ```
+   `sudo systemctl enable --now webcake-mcp` (build 1 lần: `npm install && npm run build`).
+2. **HTTPS + domain** (claude.ai bắt buộc https) — vd Caddy tự cấp TLS, `/etc/caddy/Caddyfile`:
+   ```
+   mcp.yourdomain.com { reverse_proxy localhost:8787 }
+   ```
+3. **Thêm vào claude.ai** → Remote MCP server URL = `https://mcp.yourdomain.com/mcp`.
+
+**Auth trên server chia sẻ:**
+- **Single-account** (dùng được với dialog ngay): đặt `WEBCAKE_JWT` ở env service → mọi người dùng connector
+  chung 1 tài khoản Webcake. Giữ URL riêng tư / có cổng chặn; token hết hạn (~90 ngày).
+- **Per-user** (mỗi người 1 account): cho mỗi người một URL với `?jwt=<ljwt>` riêng (chạy được qua dialog,
+  nhưng token lộ trong log), hoặc dùng client hỗ trợ header (`mcp-remote --header …`), hoặc thêm **OAuth**
+  (chưa làm) cho gọn nhất.
+
 ## Cài thủ công (local)
 
 ```bash
@@ -197,6 +291,55 @@ npm run smoke      # self-test offline của factory + validator (in "ALL GOOD")
 Các tool tham chiếu/kiểm tra chạy với **zero config**. Biến môi trường chỉ cần cho các tool lưu trữ
 (`create_page`, `update_page`, `list_pages`, `get_page`, `list_organizations`).
 
+## Kết nối một lần — tự lấy token (`login`)
+
+Thay vì copy JWT bằng tay, chạy:
+
+```bash
+# Production — zero config (mặc định: connect qua webcake.io, API qua api.webcake.io):
+npx -y webcake-landing-mcp login
+
+# Local dev — trỏ vào SPA (5173) + API (5800) ở máy:
+node dist/index.js login \
+  --connect-url http://localhost:5173/mcp-connect \
+  --api-base http://localhost:5800
+```
+
+Nó mở browser → (đăng nhập Webcake nếu cần) → token được lưu vào
+`~/.webcake-landing-mcp/auth.json`, server tự đọc.
+
+Bạn đang đăng nhập Webcake sẵn trong browser, nên `login` chỉ mở trang "connect" của Webcake — trang này
+đọc cookie **`ljwt`** (landing) và trả token về một callback loopback nội bộ — khỏi copy-paste. Token đã lưu
+được dùng bởi **cả** server stdio lẫn deploy `serve` một-người-dùng (env vẫn ưu tiên). Landing JWT sống ~90
+ngày nên hiếm khi phải kết nối lại.
+
+Hai URL, đừng nhầm:
+
+- **Trang connect = SPA** (`--connect-url` / `WEBCAKE_CONNECT_URL`): `https://webcake.io/mcp-connect` ở prod,
+  `http://localhost:5173/mcp-connect` ở local. Nếu không, suy ra từ `WEBCAKE_APP_BASE` + `/mcp-connect`,
+  mặc định `https://webcake.io/mcp-connect`.
+- **API base = backend** (`--api-base` / `WEBCAKE_API_BASE`): `https://api.webcake.io` ở prod,
+  `http://localhost:5800` ở local. Mặc định `https://api.webcake.io`.
+
+Cờ khác: `--org-id`, `--port`, `--no-open`. Thư mục file lưu: `WEBCAKE_CONFIG_DIR` (mặc định
+`~/.webcake-landing-mcp`).
+
+**Endpoint cần thêm ở backend** (trong Webcake backend — nơi giữ cookie session):
+
+```
+GET /mcp-connect?redirect_uri=<loopback>&state=<s>
+   → đọc cookie `ljwt` (landing token của user đang đăng nhập)
+   → 302 tới  <redirect_uri>?token=<ljwt>&state=<s>
+   (nếu chưa có cookie: 302 sang trang login trước, xong quay lại đây)
+```
+
+Để an toàn, chỉ chấp nhận `redirect_uri` ở `http://127.0.0.1:*` / `http://localhost:*`.
+(Mẫu tham khảo: `builderx_spa/src/views/McpConnect.vue` đọc `cookies.get('ljwt')` — nên flow này làm hẳn ở
+SPA cũng được, khỏi cần route backend.)
+
+> Remote đa người dùng (dialog claude.ai) không làm được browser loopback này — ở đó mỗi user gửi token riêng
+> qua header `x-webcake-jwt` (xem mục remote-connector ở trên).
+
 ## Biến môi trường
 
 | Biến | Bắt buộc | Mô tả |
@@ -206,6 +349,8 @@ Các tool tham chiếu/kiểm tra chạy với **zero config**. Biến môi trư
 | `WEBCAKE_ORG_ID` | Không | Organization mặc định cho `create_page` (bị ghi đè bởi tham số `organization_id`). Bỏ trống → trang cá nhân. |
 | `WEBCAKE_HOST` | Không | Header `Host` tuỳ chọn (Phoenix route theo host, ví dụ `builder.localhost`). |
 | `WEBCAKE_APP_BASE` | Không | Base tuỳ chọn để dựng URL editor/preview trong kết quả. |
+| `WEBCAKE_CONNECT_URL` | Không | Trang "connect" (SPA) cho `login` (mặc định `https://webcake.io/mcp-connect`; nếu không thì `WEBCAKE_APP_BASE` + `/mcp-connect`). |
+| `WEBCAKE_CONFIG_DIR` | Không | Thư mục chứa `auth.json` do `login` ghi (mặc định `~/.webcake-landing-mcp`). |
 
 > \* `WEBCAKE_API_BASE` và `WEBCAKE_JWT` chỉ cần cho các tool lưu trữ. Các tool tham chiếu và kiểm tra
 > (`get_generation_guide`, `list_elements`, `get_element`, `validate_page`, …) chạy không cần chúng.

package/dist/http.js

@@ -4,9 +4,10 @@
  *
  * Stateful sessions: an `initialize` POST (no session id) spins up a fresh
  * McpServer + transport and returns an `mcp-session-id`; later requests reuse it
- * via that header. Every request's headers carry the caller's OWN Webcake JWT
- * (see persistence/config.ts#configFromHeaders), so a hosted server is multi-user
- * and never bakes a shared token into env.
+ * via that header. Each request carries the caller's OWN Webcake JWT — via a header
+ * (x-webcake-jwt / Authorization) OR a URL query param (.../mcp?jwt=<token>, for
+ * clients like the claude.ai dialog that can't set headers; see applyQueryAuth +
+ * persistence/config.ts#configFromHeaders). So a hosted server is multi-user.
  *
  * All logging stays on stderr (console.error), same as stdio mode.
  */
@@ -30,6 +31,35 @@ async function readBody(req) {
     const raw = Buffer.concat(chunks).toString("utf8").trim();
     return raw ? JSON.parse(raw) : undefined;
 }
+// Map credentials passed in the URL query (e.g. .../mcp?jwt=<token>) onto the
+// x-webcake-* headers so the normal per-request config path handles them. This is
+// for clients that can't set custom headers — notably the claude.ai connector
+// dialog, which only takes a URL. An explicit header always wins over the query.
+// SECURITY: a token in the URL can land in access/proxy logs — prefer headers,
+// require HTTPS, and disable query-string logging on your reverse proxy.
+const QUERY_AUTH = {
+    jwt: "x-webcake-jwt",
+    api_base: "x-webcake-api-base",
+    org_id: "x-webcake-org-id",
+    host: "x-webcake-host",
+    app_base: "x-webcake-app-base",
+};
+function applyQueryAuth(req) {
+    const q = (req.url ?? "").indexOf("?");
+    if (q === -1)
+        return;
+    const params = new URLSearchParams((req.url ?? "").slice(q + 1));
+    for (const [param, header] of Object.entries(QUERY_AUTH)) {
+        const value = params.get(param);
+        // Only fill in when there's no explicit header (header wins). The transport
+        // builds its Request from `req.rawHeaders` (via @hono/node-server), so we MUST
+        // push there — mutating `req.headers` alone is not seen by the tool handlers.
+        if (value && req.headers[header] == null) {
+            req.headers[header] = value;
+            req.rawHeaders.push(header, value);
+        }
+    }
+}
 export async function startHttpServer(port) {
     // mcp-session-id -> live transport (each bound to its own McpServer instance).
     const transports = new Map();
@@ -41,6 +71,8 @@ export async function startHttpServer(port) {
         }
         if (path !== MCP_PATH)
             return rpcError(res, 404, `Not found. Send MCP requests to ${MCP_PATH}.`);
+        // Accept credentials via ?jwt=/?api_base=/... (for clients that can't set headers).
+        applyQueryAuth(req);
         const sidHeader = req.headers["mcp-session-id"];
         const sessionId = Array.isArray(sidHeader) ? sidHeader[0] : sidHeader;
         try {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "webcake-landing-mcp",
-  "version": "1.0.8",
+  "version": "1.0.9",
   "description": "MCP server exposing Webcake landing-page element schemas + AI usage hints, and persisting LLM-generated page sources to a Webcake backend.",
   "type": "module",
   "bin": {