Comprendre les permissions lecture et écriture

Distinguez les scopes MCP de lecture et d’écriture et accordez le minimum nécessaire à chaque assistant.

Mis à jour le

En bref

Billabex sépare la consultation avec `mcp:read` des modifications avec `mcp:write`. Le scope de lecture suffit pour les synthèses, recherches et contrôles. Le scope d’écriture ouvre les outils qui peuvent changer un compte, une tâche, une communication ou certains réglages. Accordez-le uniquement à un client et à un usage de confiance, puis relisez chaque action sensible.

Résultat attendu

Chaque connexion IA dispose du scope minimal correspondant à son usage et aucune écriture n’est autorisée par défaut.

Avant de commencer

  • Listez les résultats attendus du client IA avant de choisir les permissions.
  • Identifiez qui peut révoquer le consentement si l’usage change.

Procédure

  1. Pour analyser, résumer ou préparer un plan, demandez uniquement mcp:read.
  2. Ajoutez mcp:write seulement si un workflow doit réellement créer ou modifier une donnée Billabex.
  3. Pendant OAuth, vérifiez le compte, l’organisation et les scopes affichés avant de confirmer.
  4. Dans le client IA, gardez une approbation manuelle pour les outils d’écriture ou destructifs.
  5. Révoquez puis reconnectez avec moins de droits lorsqu’un scope n’est plus nécessaire.

Ce que fait Billabex

Billabex contrôle le scope requis pour chaque outil. Un outil de lecture échoue sans mcp:read et un outil de modification sans mcp:write. Les annotations MCP indiquent aussi si un outil est en lecture seule, destructif ou ouvert vers un service externe.

Si le résultat n’est pas celui attendu

  • Une erreur de permission ne se corrige pas en répétant l’appel : relancez OAuth avec le scope réellement nécessaire.
  • Le scope d’écriture n’autorise pas l’accès à une autre organisation que celle du compte connecté.
  • Si le client masque les paramètres d’un outil, refusez l’action plutôt que de confirmer à l’aveugle.

Équipe Billabex · Vérifié sur le produit le