核心配置与能力

这一组解决“Claude Code 能运行之后，怎么稳定、安全、可复现地用”。安装和登录只是入口；真正进入项目后，先要分清配置放在哪一层、工具能做什么、Claude 每次知道什么、外部系统什么时候值得接入。

1. 这一组包含什么

核心配置与能力一共 4 章：

• 配置 Claude Code：managed（管理员）、user（用户）、project（项目）、local（本地）四个作用域，settings（设置）合并规则，环境变量、Hooks、MCP、插件和记忆的配置归属。
• 管理权限：allow（允许）、ask（询问）、deny（拒绝）、权限模式、Bash / Read / Edit / WebFetch / MCP / Subagents 的工具边界，以及 sandbox（沙盒）配合。
• 使用记忆机制：CLAUDE.md、CLAUDE.local.md、.claude/rules/、@import、auto memory、/memory 和排障。
• 连接 MCP：HTTP、SSE、stdio、local / project / user 作用域、OAuth、Tool Search（工具搜索）、输出限制和 managed MCP。

2. 章节入口

3. 推荐阅读顺序

按真实配置顺序读：

1. 先读 settings（设置）。配置作用域错了，后面的权限、MCP、Hooks 都会难排查。
2. 再读 permissions（权限）。不要在没理解工具边界前开放自动执行。
3. 然后读 memory（记忆）。把重复提醒沉淀到 CLAUDE.md、rules 或 auto memory。
4. 最后读 MCP。外部系统接入会扩大访问面，要放在权限和记忆之后。

如果按问题跳转：

• 不知道配置放 user 还是 project：读 settings（设置）。
• 想减少权限弹窗：先读 permissions（权限），不要直接开 bypass。
• 想禁止读 .env 或危险命令：读 permissions，再看 Hooks。
• Claude 老忘项目命令：读 memory。
• CLAUDE.md 越写越长：读 memory 的 rules 和 Skill 分工。
• MCP token、OAuth、scope（作用域）不清楚：读 MCP。
• MCP 工具输出太大：读 MCP 的输出限制和 Tool Search。

4. 不要混淆的边界

几个边界必须分清：

• CLAUDE.md 是上下文，不是权限系统。
• allowed_tools 是预批准，不是工具沙盒。
• settings scope（设置作用域）是归属边界，不是简单优先级猜谜。
• MCP prompt 是外部系统给的流程入口，不等于 MCP tool 权限。
• sandbox 不是 MCP 的网络防火墙。
• auto memory 是本机学习笔记，不是团队规范。

5. 完成后的验收标准

读完这一组，你应该能做到：

• 能判断一条配置该放 managed、user、project 还是 local 作用域。
• 能写出基本的 permissions（权限） allow、ask、deny。
• 能解释 default、acceptEdits、plan、auto、dontAsk、bypassPermissions 的差别。
• 能把项目长期规则放进合适的 CLAUDE.md 或 .claude/rules/。
• 能用 /memory 排查当前会话加载了什么。
• 能判断 MCP 该放 local、project 还是 user 作用域。
• 能确认 .mcp.json 不提交真实密钥。
• 能控制 MCP 工具权限和输出大小。

6. 官方来源

• Claude Code settings
• Configure permissions
• How Claude remembers your project
• Connect Claude Code to tools via MCP