CLI MCP で API key 設定を廃止する場合は、ローカル実行向けに OAuth 2.1 の Authorization Code + PKCE を使う login / logout コマンドを用意し、refresh token をローカルに保存して access token を更新する設計が扱いやすい。token 保存先はユーザー専用ディレクトリを 0700、token ファイルを 0600 にして、logout では可能ならサーバー側 revoke とローカル削除を行う。remote MCP と local CLI MCP を併用する場合、remote 側はサーバーで完結するツールだけを公開し、ローカル cache/session 依存ツールは CLI 側に限定すると責務が分かれる。