Stackbilt MCP Gateway

Registro MCP: dev.stackbilt.mcp/gateway — publicado en el Registro Oficial de MCP

Pasarela Model Context Protocol (MCP) con autenticación OAuth para los servicios de la plataforma Stackbilt. Construido como un Cloudflare Worker utilizando @cloudflare/workers-oauth-provider.

Qué hace

Un único endpoint MCP (mcp.stackbilt.dev/mcp) que enruta las llamadas a herramientas a múltiples workers de productos backend:

Backend	Herramientas	Descripción
TarotScript	`scaffold_create`, `scaffold_classify`, `scaffold_publish`, `scaffold_deploy`, `scaffold_import`, `scaffold_status`	Estructuración determinista de proyectos, importación de flujos de trabajo n8n, publicación en GitHub, despliegue en CF
img-forge	`image_generate`, `image_list_models`, `image_check_job`	Generación de imágenes por IA (5 niveles de calidad)
Stackbilder (Backend de TarotScript)	`flow_create`, `flow_status`, `flow_summary`, `flow_quality`, `flow_governance`, `flow_advance`, `flow_recover`	OBSOLETO — Orquestación de flujo de arquitectura (migrando a `scaffold_*`)

El Pipeline de Estructuración (E2E)

You: "Build a restaurant menu API with D1 storage"
 ↓
scaffold_create → structured facts + 9 deployable project files
 ↓
scaffold_publish → GitHub repo with atomic initial commit
 ↓
git clone → npm install → npx wrangler deploy → live Worker

Cero llamadas a LLM para la generación de archivos. ~20ms para la estructura, ~2s con prosa de oráculo. 21 veces más rápido que flow_create.

Related MCP server: forgemesh-imagegen

Características clave

OAuth 2.1 con PKCE — SSO de GitHub, SSO de Google y autenticación por correo electrónico/contraseña
Patrón de adaptador de backend — catálogos de herramientas agregados desde múltiples enlaces de servicio, con espacios de nombres para evitar colisiones
Limitación de tasa por nivel — límites de ventana fija por inquilino a través de RATELIMIT_KV (gratuito=20/min, hobby=60, pro=300, enterprise=1000); 429 con cabeceras Retry-After y X-RateLimit-*
Atribución de costes y cuotas — cada llamada a la herramienta conlleva un coste en créditos; la cuota se reserva mediante edge-auth antes del envío y se confirma/reembolsa según el resultado; el coste de image_generate escala con el nivel de calidad efectivo (1×/1×/3×/5×/8× para borrador/estándar/premium/ultra/ultra_plus); cuando se establece model, este tiene prioridad de facturación sobre quality_tier
Cumplimiento de alcance + nivel — tools/list se filtra por alcances de token; tools/call requiere el alcance generate para herramientas de mutación; los niveles de calidad costosos de image_generate (premium y superiores) están restringidos a planes Pro+; especificar model directamente aplica la misma restricción mediante el mapeo modelo→nivel
Cumplimiento de la Constitución de Seguridad — cada herramienta declara un nivel de riesgo (READ_ONLY, LOCAL_MUTATION, EXTERNAL_MUTATION); registro de auditoría estructurado con redacción de secretos; tokens de identidad firmados con HMAC
Puerta de "próximamente" — bandera PUBLIC_SIGNUPS_ENABLED para controlar el acceso público
MCP JSON-RPC sobre HTTP — admite tanto streaming (SSE) como transporte de solicitud/respuesta

Inicio rápido

Requisitos previos

Node.js 18+
Wrangler CLI (npm i -g wrangler)
Cuenta de Cloudflare con los enlaces de servicio necesarios configurados

Instalación y ejecución

npm install
npm run dev

Ejecutar pruebas

npm test

Despliegue

npm run deploy

Se despliega en el dominio personalizado mcp.stackbilt.dev a través de Cloudflare Workers.

Variables de entorno y secretos

Nombre	Tipo	Descripción
`SERVICE_BINDING_SECRET`	Secreto	Clave HMAC-SHA256 para firmar tokens de identidad
`API_BASE_URL`	Variable	URL base para redirecciones OAuth (ej. `https://mcp.stackbilt.dev`)
`AUTH_SERVICE`	Enlace de servicio	RPC al worker `edge-auth` (`AuthEntrypoint`)
`STACKBILDER`	Enlace de servicio	Ruta al worker `edge-stack-architect-v2`
`IMG_FORGE`	Enlace de servicio	Ruta al worker `img-forge-mcp`
`OAUTH_KV`	Espacio de nombres KV	Almacena el estado de OAuth social (entradas con TTL de 5 min) y sesiones MCP
`RATELIMIT_KV`	Espacio de nombres KV	Contadores de límite de tasa de ventana fija por inquilino (TTL de 60s)
`PLATFORM_EVENTS_QUEUE`	Cola	Pipeline de eventos de auditoría (`stackbilt-user-events`)
`MCP_REGISTRY_AUTH`	Variable	Cadena de verificación de dominio del Registro MCP (servida en `/.well-known/mcp-registry-auth`)

Establece secretos con:

wrangler secret put SERVICE_BINDING_SECRET

Estructura del proyecto

src/
 index.ts # Entry point — OAuthProvider setup, CORS, health check, MCP Registry well-known
 gateway.ts # MCP JSON-RPC transport, session management, tool dispatch
 oauth-handler.ts # OAuth 2.1 flows: login, signup, social SSO, consent
 tool-registry.ts # Tool catalog aggregation, namespacing, schema validation
 audit.ts # Structured audit logging, secret redaction, trace IDs
 auth.ts # Bearer token extraction & validation
 route-table.ts # Static routing table, tool-to-backend mapping, risk levels
 types.ts # Type definitions, RiskLevel enum, interfaces

test/
 audit.test.ts
 auth.test.ts
 gateway.test.ts
 oauth-handler.test.ts
 route-table.test.ts
 tool-registry.test.ts

docs/
 user-guide.md # End-user guide: account creation, client setup, tool usage
 api-reference.md # MCP tool surface, authentication flow, tool routing
 architecture.md # System design, security model, request flow

Suite de pruebas

122 pruebas en 6 archivos de prueba que cubren:

Manejador OAuth — firma/verificación de tokens de identidad, inicio de sesión, registro, flujos de OAuth social, consentimiento, escape de HTML
Pasarela — ciclo de vida de la sesión, initialize, tools/list, tools/call, streaming SSE, manejo de errores
Auditoría — patrones de redacción de secretos (claves API, tokens bearer, hashes hex, campos de contraseña), IDs de seguimiento, emisión de colas
Autenticación — extracción de tokens bearer, validación de clave API vs JWT, mapeo de errores
Registro de herramientas — construcción de catálogo, mapeo de nombres, validación de esquema, cumplimiento de nivel de riesgo
Tabla de rutas — resolución de rutas, búsqueda de nivel de riesgo

npm test # single run
npm run test:watch # watch mode

Documentación

Guía del usuario — creación de cuenta, configuración del cliente, uso de herramientas
Referencia de API — herramientas MCP, autenticación, enrutamiento de herramientas
Arquitectura — diseño del sistema, modelo de seguridad, flujo de datos

Licencia

MIT — ver LICENSE

This server cannot be installed

license - permissive license

quality - not tested

maintenance

How are these scores calculated?

Maintenance

–Maintainers

6hResponse time

–Release cycle

–Releases (12mo)

Commit activity

Issues opened vs closed

Resources

Need Help?

Related Servers

Unclaimed servers have limited discoverability.

Looking for Admin?

If you are the server author, to access and configure the admin panel.

Appeared in Searches

Latest Blog Posts

Lightport: Open-Sourcing Glama's AI Gateway
By punkpeye on April 27, 2026.
open source
OpenAI
Tool Definition Quality Score (TDQS)
By punkpeye on April 3, 2026.
mcp
The Hackers Who Tracked My Sleep Cycle
By punkpeye on March 26, 2026.
security

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/Stackbilt-dev/stackbilt-mcp-gateway'

If you have feedback or need assistance with the MCP directory API, please join our Discord server

URL: https://glama.ai/mcp/servers/Stackbilt-dev/stackbilt-mcp-gateway?locale=es-ES

⇱ Stackbilt by Stackbilt-dev | Glama