mcp-access-self-hosted

帮我为一个自托管 MCP 服务设计接入 Cloudflare Access 的方案：校验 Access JWT，只允许公司邮箱用户访问，并根据用户身份决定是否暴露 admin-tools 与 read-only-tools。

一套接入方案，包含 JWT 校验流程、身份映射规则和按角色暴露工具的逻辑说明。

我的 MCP 服务接入 Cloudflare Access 后总是返回未授权。请帮我检查可能原因，包括 JWT 解析、签名验证、audience 配置、用户邮箱声明和时钟偏差，并给出排查步骤。

一份结构化排障清单，指出常见错误点及对应修复建议。

请帮我设计一套规则：研发团队可使用部署和日志工具，产品团队只能使用查询类工具；规则依据 Cloudflare Access 中的用户身份信息在 MCP 服务端动态生效。

按团队划分的授权规则示例，以及服务端动态控制工具可见性的实现思路。