Passer au contenu principal
Dans la plupart des guides de configuration MCP, la connexion se fait en plaçant directement votre clé API dans l’URL du serveur (https://mcp.firecrawl.dev/VOTRE_CLÉ_API/v2/mcp). Si votre client MCP prend en charge OAuth, vous pouvez plutôt utiliser le point de terminaison sans clé et vous connecter via votre navigateur. Firecrawl génère alors pour le client un jeton à durée de vie courte et à portée limitée, de sorte que votre clé API brute n’est jamais copiée dans la configuration du client.
La prise en charge d’OAuth est automatique pour les clients qui implémentent la spécification d’autorisation MCP (par exemple les connecteurs personnalisés de Claude.ai). Il n’y a rien à activer au préalable sur votre compte Firecrawl.

Pourquoi utiliser OAuth

  • Aucune clé API dans l’URL. Le client ne stocke jamais votre clé fc- brute. À la place, il conserve un jeton d’accès de courte durée.
  • Jetons de courte durée, renouvelés en continu. Les jetons d’accès expirent après 1 heure ; les jetons de rafraîchissement sont renouvelés à chaque utilisation.
  • À portée limitée et propres à chaque client. Chaque client connecté obtient son propre jeton, ce qui permet de gérer et de révoquer les accès indépendamment.
  • Impact réduit en cas de fuite. Un jeton client divulgué a une portée limitée et une courte durée de vie, contrairement à votre clé de compte complète.

Se connecter

1. Utilisez l’URL MCP sans clé

Configurez votre client MCP pour qu’il pointe vers le point de terminaison de base, sans clé API dans le chemin : 
https://mcp.firecrawl.dev/v2/mcp
Si votre client demande un OAuth Client ID et un OAuth Client Secret, laissez ces deux champs vides. Firecrawl utilise la enregistrement dynamique des clients, donc le client s’enregistre automatiquement.

2. Se connecter et autoriser

Lors de la première connexion, le client ouvre une page Firecrawl dans votre navigateur. Connectez-vous à votre compte Firecrawl si ce n’est pas déjà fait, puis vérifiez l’écran de consentement :
Autoriser <nom du client> Cette application demande un accès complet à l’API Firecrawl via votre compte Firecrawl.
Cliquez sur Autoriser. Le client reçoit son jeton et la connexion est établie. Toutes les requêtes envoyées par le client sont facturées à votre compte Firecrawl et exécutées en votre nom.
Si votre client vous permet de choisir l’équipe ou le compte avant d’autoriser l’accès, assurez-vous de vous connecter au compte dont le connecteur doit utiliser les crédits. Vous pouvez consulter votre utilisation à tout moment sur firecrawl.dev/app/usage.

Quel compte utilise le connecteur

Le jeton est généré pour le compte Firecrawl avec lequel vous vous connectez pendant l’étape de consentement, et chaque requête du connecteur consomme des crédits de ce compte. Si vous appartenez à plusieurs équipes, basculez vers l’équipe que vous voulez utiliser avant d’approuver (utilisez le sélecteur d’équipe en haut à gauche du tableau de bord Firecrawl). Pour connecter un autre compte plus tard, déconnectez le connecteur dans votre client, puis reconnectez-le en vous connectant avec le compte souhaité.

Se connecter depuis d’autres clients

Tout client qui implémente la spécification d’autorisation MCP peut utiliser le point de terminaison sans clé en pointant vers https://mcp.firecrawl.dev/v2/mcp et en se connectant dans le browser lorsque cela lui est demandé.
Prise en charge des URI de redirection du client. Le serveur d’autorisation de Firecrawl accepte les URI de redirection OAuth en HTTPS ou en loopback (http://localhost / http://127.0.0.1). Certains clients (par exemple Cursor et VS Code) enregistrent un schéma d’URL personnalisé tel que cursor:// comme URI de redirection, ce qui n’est actuellement pas accepté. Résultat, leur connexion directe à l’URL sans clé échoue avant même l’ouverture du browser. Avec ces clients, utilisez plutôt le wrapper mcp-remote (qui utilise une redirection loopback) ou l’URL avec clé API.
Le wrapper mcp-remote fonctionne avec tout client capable d’exécuter une commande locale, y compris Cursor et VS Code. Il effectue le flux OAuth via une redirection loopback et ouvre votre browser pour autoriser : 
{
  "mcpServers": {
    "firecrawl": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://mcp.firecrawl.dev/v2/mcp"]
    }
  }
}
Pour les clients qui ne prennent en charge qu’une clé API, utilisez plutôt la forme avec clé API dans l’URL (https://mcp.firecrawl.dev/VOTRE_CLÉ_API/v2/mcp).

OAuth vs. clé API dans l’URL

Les deux méthodes fonctionnent et utilisent les mêmes outils MCP. Choisissez selon votre client :
Clé API dans l’URLOAuth
URLhttps://mcp.firecrawl.dev/VOTRE_CLÉ_API/v2/mcphttps://mcp.firecrawl.dev/v2/mcp
ConfigurationCollez la clé API dans l’URLConnectez-vous via le navigateur, puis cliquez sur « Allow »
Ce que le client stockeVotre clé API bruteUn jeton à durée de vie courte, à portée limitée
Idéal pourLes clients sans prise en charge d’OAuthLes clients prenant en charge OAuth MCP (par ex. Claude.ai)

Normes prises en charge

Firecrawl utilise un serveur d’autorisation OAuth 2.0 conforme aux standards. Ainsi, tout client MCP conforme à la spécification d’autorisation MCP peut se connecter sans code personnalisé :
  • Code d’autorisation OAuth 2.0 + PKCE (S256 uniquement)
  • RFC 8414 — Découverte des métadonnées du serveur d’autorisation
  • RFC 9728 — Métadonnées de ressource protégée (le serveur MCP renvoie une réponse 401 avec un en-tête WWW-Authenticate orientant les clients vers la découverte)
  • RFC 7591 — Enregistrement dynamique des clients
  • RFC 8707 — Indicateurs de ressources
Les clients découvrent tout ce dont ils ont besoin à partir du document de métadonnées : 
curl -s "https://www.firecrawl.dev/.well-known/oauth-authorization-server" | jq .
Lorsqu’ils demandent un jeton pour le serveur MCP, les clients conformes à la spécification transmettent resource=https://mcp.firecrawl.dev/v2/mcp dans les appels /authorize et /token (conformément à la RFC 8707). La plupart des clients MCP s’en chargent automatiquement en lisant les métadonnées ci-dessus.