OAuth para todos
La dirección y el modelo de negocio de Cloudflare
- A algunos les preocupa que Cloudflare se esté desviando de una “infraestructura simple + protección” hacia una plataforma en la nube con bloqueo de proveedor, arriesgando recortes eventuales a los niveles gratuitos una vez que dominen los servicios de mayor margen.
- Otros argumentan que los productos gratuitos son un embudo central y probablemente seguirán existiendo, y que la “nube” es una extensión natural de su misión original de CDN/DDOS.
- Preocupaciones sobre la centralización: Cloudflare se está convirtiendo en un punto de estrangulamiento crítico para la web, lo que entra en conflicto con un ideal de Internet descentralizado.
OAuth para las APIs de Cloudflare: beneficios y riesgos
- Quienes lo apoyan ven OAuth como más seguro que las claves API en bruto: acceso delegado, permisos con alcance limitado, rotación más fácil y menos manejo de claves por parte de los usuarios.
- Los escépticos señalan que, para cuentas de infraestructura, delegar mediante OAuth a herramientas de terceros puede acarrear costes reales y abusos si los alcances son demasiado amplios o si los usuarios malinterpretan los avisos.
- Varios apuntan que AWS y otros ya admiten flujos delegados similares (vía IAM/OIDC), aunque las implementaciones pueden ser confusas.
Complejidad, usabilidad y “fatiga de autenticación”
- Muchos describen OAuth2/OIDC, IAM y la autenticación empresarial como sobreingenierizados, confusos y llenos de trampas, especialmente para casos sencillos de servidor a servidor.
- Algunos argumentan que la complejidad proviene de los requisitos empresariales y del diseño por comités, y que leer las especificaciones y usar bibliotecas bien probadas lo hace manejable.
- Un deseo recurrente: “solo denme una API key” para proyectos personales o a pequeña escala; temor de que desaparezcan las opciones simples.
Privacidad y preocupaciones sobre la identidad centralizada
- Existe una fuerte preocupación de que los proveedores de OAuth puedan ver dónde y cuándo inician sesión los usuarios, y técnicamente podrían hacerse pasar por ellos o conceder acceso a otros.
- Comparación con los registros por correo electrónico: los proveedores ya ven la creación de cuentas, pero OAuth añade el momento exacto del inicio de sesión y centraliza aún más poder.
- Algunos abogan por identidad autoalojada o basada en dominios (IndieAuth, OIDC autoalojado) para una mejor privacidad, aunque su adopción es baja.
Ecosistema y alternativas
- Discusión sobre otras pilas de IAM/OAuth: Ory (Hydra, Kratos, etc.), Keycloak, Supabase Auth, Zitadel, Authentik; compromisos en escala, complejidad y licencias.
- Varios subrayan que OAuth es mejor cuando se necesita una verdadera delegación del usuario; para APIs sencillas, las claves con alcance limitado, rotación y registros de auditoría pueden ser superiores.
Detalles de la ejecución de Cloudflare
- Esta función trata principalmente de OAuth para acceder a cuentas de Cloudflare, no de un “iniciar sesión con Cloudflare” genérico para aplicaciones arbitrarias.
- La implementación se basa en Ory Hydra; hay curiosidad técnica sobre migraciones y rendimiento.
- Crítica más amplia de que Cloudflare suele lanzar muchos productos rápidamente, pero tarda en pulir y completar funciones y herramientas básicas (por ejemplo, carencias de wrangler).