mcp.vellaro.io. Un agente AI può così interrogare e operare sul negozio con la stessa
auth, gli stessi permessi e lo stesso isolamento tenant degli endpoint HTTP documentati qui.
Endpoint
Trasporto streamable-HTTP (stateless). Nessun segreto è memorizzato: la credenziale
viaggia negli header della richiesta MCP e viene inoltrata verbatim alla REST API.
Storefront MCP
Auth con la chiave publishable del negozio (cx_pk_live_...) — identifica il negozio e
non può toccare gli endpoint /admin/*.
Admin MCP
Auth con token staff + permessi granulari; ogni azione è vincolata al suo negozio. Le mutazioni richiedonoconfirm=true e sono audit-loggate.
Collegamento
Client con header (Claude Desktop, Claude Code)
Il modo consigliato: l’endpoint del server + la credenziale negli header.Connettore claude.ai (chiave nell’URL — solo storefront)
Il dialog “connettore personalizzato” di claude.ai supporta solo OAuth, non gli header custom. Per lo storefront puoi passare la chiave publishable direttamente nell’URL:X-Vellaro-Key, la query string viene ignorata.
I server MCP sono un thin layer sopra questa stessa REST API: qualsiasi cosa faccia un tool,
la puoi fare via HTTP. Gli endpoint elencati in questa sezione restano la fonte di verità.
Vedi anche Autenticazione.