OAuth para todos

Direção e modelo de negócio da Cloudflare

  • Alguns se preocupam que a Cloudflare esteja se afastando de “infra simples + proteção” em direção a uma plataforma de nuvem com lock-in, correndo o risco de cortes eventuais nos planos gratuitos quando serviços de maior margem dominarem.
  • Outros argumentam que produtos gratuitos são um funil central e provavelmente permanecerão, e que “cloud” é uma extensão natural da missão original de CDN/DDOS da empresa.
  • Preocupações com centralização: a Cloudflare está se tornando um gargalo crítico para a web, o que entra em conflito com um ideal de Internet descentralizada.

OAuth para as APIs da Cloudflare: benefícios e riscos

  • Os defensores veem o OAuth como mais seguro do que chaves de API brutas: acesso delegado, permissões delimitadas, rotação mais fácil, menos manipulação de chaves pelos usuários.
  • Os céticos destacam que, para contas de infraestrutura, delegar via OAuth a ferramentas de terceiros pode gerar custos reais e abuso se os escopos forem amplos demais ou se os usuários entenderem mal os prompts.
  • Vários observam que AWS e outras já suportam fluxos delegados semelhantes (via IAM/OIDC), embora as implementações possam ser confusas.

Complexidade, usabilidade e “fadiga de autenticação”

  • Muitos descrevem OAuth2/OIDC, IAM e autenticação empresarial como excessivamente engenhosos, confusos e cheios de armadilhas, especialmente para casos simples de servidor para servidor.
  • Alguns argumentam que a complexidade vem de requisitos empresariais e de projetos feitos por comitê, e que ler as especificações junto com bibliotecas bem testadas torna isso administrável.
  • Um desejo recorrente: “me dê apenas uma API key” para projetos pessoais ou em pequena escala; receio de que opções simples desapareçam.

Privacidade e preocupações com identidade central

  • Forte preocupação de que provedores de OAuth possam ver onde e quando os usuários fazem login, e poderiam tecnicamente se passar por eles ou conceder acesso a სხვos.
  • Comparação com cadastros por email: os provedores já veem a criação de contas, mas o OAuth adiciona o momento exato do login e centraliza ainda mais poder.
  • Alguns defendem identidade auto-hospedada ou baseada em domínio (IndieAuth, OIDC auto-hospedado) para melhor privacidade, embora a adoção seja baixa.

Ecossistema e alternativas

  • Discussão sobre outras pilhas IAM/OAuth: Ory (Hydra, Kratos, etc.), Keycloak, Supabase Auth, Zitadel, Authentik; trade-offs em escala, complexidade e licenciamento.
  • Vários enfatizam que o OAuth é melhor quando há necessidade real de delegação do usuário; para APIs simples, chaves com escopo, rotação e logs de auditoria podem ser superiores.

Especificidades da execução da Cloudflare

  • Este recurso trata principalmente de OAuth para acessar contas da Cloudflare, não de um genérico “entrar com Cloudflare” para apps arbitrários.
  • A implementação é baseada em Ory Hydra; há curiosidade técnica sobre migrações e desempenho.
  • Crítica mais ampla de que a Cloudflare frequentemente lança muitos produtos rapidamente, mas demora a polir e concluir recursos e ferramentas básicas (por exemplo, lacunas no wrangler).