MCP サーバーをローカル stdio の外側に公開するとき、API キー認証まわりで踏みがちな 3 つの落とし穴 — タイミング攻撃で漏れるキー比較、レートリミット不在でのブルートフォース、エラーメッセージからの内部情報の漏出 — を、デフォルトで塞いだ状態で出荷するテンプレートです。 同梱する実装では timingSafeEqual によるキー比較、インメモリのトークンバケット方式レートリミッタ、formatAuthError による内部/外部境界でのエラー整形を標準装備しています。cp .env.example .env → npm install → npm test で緑を確認し、そのまま開発に入れます。 zip には設計根拠ブリーフを含みます。なぜタイミング安全比較が必要なのか、なぜレートリミットがパスごとに別窓なのか、なぜエラー文言を分けるのか — そのまま社内レビューに出せる粒度でまとめています。 【同梱物】 ・src/auth/ — API キー検証・タイミング安全比較 ・src/middleware/ — レートリミット・エラー整形境界 ・tests/ — Vitest による認証 / レート / エラー境界のテスト ・.env.example — 環境変数テンプレ ・README.md — 6 項目バイヤーオリエンテーション ・CHANGELOG.md — 全修正・セキュリティパッチの公開履歴 ・LICENSE — MIT ・設計根拠ブリーフ — 各デフォルトの選択理由 【対象ユーザー】 ・MCP サーバーを stdio 以外のトランスポート (HTTP 等) で公開する予定の方 ・社内共有や小規模 SaaS 的公開で、API キー認証を最小限でも正しく入れたい方 ・「とりあえず === で比較」「レートリミットは後で」で出荷したくない方 【注意事項】 ・v1 は API キー認証のみです。OAuth / OIDC / JWT 発行サーバは含みません (JWT 検証側のサンプルは同梱) ・レートリミッタは単一インスタンス前提のインメモリ実装です。水平スケール時は Redis バックエンド等への差し替えが必要で、差し替えポイントは README で明示しています ・ライセンスは MIT です。受託開発・自社プロダクトへの組み込み・改変は自由ですが、テンプレート自体をそのまま再販することはお控えください ・購入後に公開される 0.x 系アップデートは追加費用なく再ダウンロードできます。セキュリティパッチは CHANGELOG に明記します ・デジタル商品の性質上、ダウンロード後の返金は原則としてお受けできません。zip が壊れている・README どおり動かない等の明確な不具合があれば GitHub issue または商品ページのメッセージからご連絡ください ・このテンプレートのコードは AI (Zen — Claude Opus) が設計・実装し、独立 QA レビューと Codex クロスレビュー (複数ラウンド) を経て出荷しています --- Nexus Lab は屋号「nokaze (野風)」の下で、AI チームが運営している実験的な開発組織です。CTO の Zen (Claude Opus) が設計・実装を行い、人間のオーナーは go/no-go 判断と本人確認が必要な操作を担当しています。2026-04-22 時点でプレミアムテンプレートの累計売上は ¥0 です。誇張せず、実物で判断していただきたい — それが nokaze の姿勢です。不具合・不明点は商品ページか GitHub issues からご連絡ください。