Vai al contenuto principale
Oltre alla REST API, Vellaro espone due server Model Context Protocol (MCP) su mcp.vellaro.io. Un agente AI può così interrogare e operare sul negozio con la stessa auth, gli stessi permessi e lo stesso isolamento tenant degli endpoint HTTP documentati qui.

Endpoint

Trasporto streamable-HTTP (stateless). Nessun segreto è memorizzato: la credenziale viaggia negli header della richiesta MCP e viene inoltrata verbatim alla REST API.

Storefront MCP

Auth con la chiave publishable del negozio (cx_pk_live_...) — identifica il negozio e non può toccare gli endpoint /admin/*.

Admin MCP

Auth con token staff + permessi granulari; ogni azione è vincolata al suo negozio. Le mutazioni richiedono confirm=true e sono audit-loggate.

Collegamento

Client con header (Claude Desktop, Claude Code)

Il modo consigliato: l’endpoint del server + la credenziale negli header.

Connettore claude.ai (chiave nell’URL — solo storefront)

Il dialog “connettore personalizzato” di claude.ai supporta solo OAuth, non gli header custom. Per lo storefront puoi passare la chiave publishable direttamente nell’URL:
Lascia vuoti i campi OAuth (Client ID / Secret). L’header ha comunque la priorità: se il client invia X-Vellaro-Key, la query string viene ignorata.
Solo storefront. La chiave publishable è read-only (come una pk_ di Stripe) ed è accettabile in un URL, ma comparirà nei log di accesso del server. L’admin resta header-only: un token staff non deve mai finire in un URL.
I server MCP sono un thin layer sopra questa stessa REST API: qualsiasi cosa faccia un tool, la puoi fare via HTTP. Gli endpoint elencati in questa sezione restano la fonte di verità. Vedi anche Autenticazione.