OAuth para todos

La dirección y el modelo de negocio de Cloudflare

  • A algunos les preocupa que Cloudflare se esté desviando de una “infraestructura simple + protección” hacia una plataforma en la nube con bloqueo de proveedor, arriesgando recortes eventuales a los niveles gratuitos una vez que dominen los servicios de mayor margen.
  • Otros argumentan que los productos gratuitos son un embudo central y probablemente seguirán existiendo, y que la “nube” es una extensión natural de su misión original de CDN/DDOS.
  • Preocupaciones sobre la centralización: Cloudflare se está convirtiendo en un punto de estrangulamiento crítico para la web, lo que entra en conflicto con un ideal de Internet descentralizado.

OAuth para las APIs de Cloudflare: beneficios y riesgos

  • Quienes lo apoyan ven OAuth como más seguro que las claves API en bruto: acceso delegado, permisos con alcance limitado, rotación más fácil y menos manejo de claves por parte de los usuarios.
  • Los escépticos señalan que, para cuentas de infraestructura, delegar mediante OAuth a herramientas de terceros puede acarrear costes reales y abusos si los alcances son demasiado amplios o si los usuarios malinterpretan los avisos.
  • Varios apuntan que AWS y otros ya admiten flujos delegados similares (vía IAM/OIDC), aunque las implementaciones pueden ser confusas.

Complejidad, usabilidad y “fatiga de autenticación”

  • Muchos describen OAuth2/OIDC, IAM y la autenticación empresarial como sobreingenierizados, confusos y llenos de trampas, especialmente para casos sencillos de servidor a servidor.
  • Algunos argumentan que la complejidad proviene de los requisitos empresariales y del diseño por comités, y que leer las especificaciones y usar bibliotecas bien probadas lo hace manejable.
  • Un deseo recurrente: “solo denme una API key” para proyectos personales o a pequeña escala; temor de que desaparezcan las opciones simples.

Privacidad y preocupaciones sobre la identidad centralizada

  • Existe una fuerte preocupación de que los proveedores de OAuth puedan ver dónde y cuándo inician sesión los usuarios, y técnicamente podrían hacerse pasar por ellos o conceder acceso a otros.
  • Comparación con los registros por correo electrónico: los proveedores ya ven la creación de cuentas, pero OAuth añade el momento exacto del inicio de sesión y centraliza aún más poder.
  • Algunos abogan por identidad autoalojada o basada en dominios (IndieAuth, OIDC autoalojado) para una mejor privacidad, aunque su adopción es baja.

Ecosistema y alternativas

  • Discusión sobre otras pilas de IAM/OAuth: Ory (Hydra, Kratos, etc.), Keycloak, Supabase Auth, Zitadel, Authentik; compromisos en escala, complejidad y licencias.
  • Varios subrayan que OAuth es mejor cuando se necesita una verdadera delegación del usuario; para APIs sencillas, las claves con alcance limitado, rotación y registros de auditoría pueden ser superiores.

Detalles de la ejecución de Cloudflare

  • Esta función trata principalmente de OAuth para acceder a cuentas de Cloudflare, no de un “iniciar sesión con Cloudflare” genérico para aplicaciones arbitrarias.
  • La implementación se basa en Ory Hydra; hay curiosidad técnica sobre migraciones y rendimiento.
  • Crítica más amplia de que Cloudflare suele lanzar muchos productos rápidamente, pero tarda en pulir y completar funciones y herramientas básicas (por ejemplo, carencias de wrangler).