OAuth para todos
Direção e modelo de negócio da Cloudflare
- Alguns se preocupam que a Cloudflare esteja se afastando de “infra simples + proteção” em direção a uma plataforma de nuvem com lock-in, correndo o risco de cortes eventuais nos planos gratuitos quando serviços de maior margem dominarem.
- Outros argumentam que produtos gratuitos são um funil central e provavelmente permanecerão, e que “cloud” é uma extensão natural da missão original de CDN/DDOS da empresa.
- Preocupações com centralização: a Cloudflare está se tornando um gargalo crítico para a web, o que entra em conflito com um ideal de Internet descentralizada.
OAuth para as APIs da Cloudflare: benefícios e riscos
- Os defensores veem o OAuth como mais seguro do que chaves de API brutas: acesso delegado, permissões delimitadas, rotação mais fácil, menos manipulação de chaves pelos usuários.
- Os céticos destacam que, para contas de infraestrutura, delegar via OAuth a ferramentas de terceiros pode gerar custos reais e abuso se os escopos forem amplos demais ou se os usuários entenderem mal os prompts.
- Vários observam que AWS e outras já suportam fluxos delegados semelhantes (via IAM/OIDC), embora as implementações possam ser confusas.
Complexidade, usabilidade e “fadiga de autenticação”
- Muitos descrevem OAuth2/OIDC, IAM e autenticação empresarial como excessivamente engenhosos, confusos e cheios de armadilhas, especialmente para casos simples de servidor para servidor.
- Alguns argumentam que a complexidade vem de requisitos empresariais e de projetos feitos por comitê, e que ler as especificações junto com bibliotecas bem testadas torna isso administrável.
- Um desejo recorrente: “me dê apenas uma API key” para projetos pessoais ou em pequena escala; receio de que opções simples desapareçam.
Privacidade e preocupações com identidade central
- Forte preocupação de que provedores de OAuth possam ver onde e quando os usuários fazem login, e poderiam tecnicamente se passar por eles ou conceder acesso a სხვos.
- Comparação com cadastros por email: os provedores já veem a criação de contas, mas o OAuth adiciona o momento exato do login e centraliza ainda mais poder.
- Alguns defendem identidade auto-hospedada ou baseada em domínio (IndieAuth, OIDC auto-hospedado) para melhor privacidade, embora a adoção seja baixa.
Ecossistema e alternativas
- Discussão sobre outras pilhas IAM/OAuth: Ory (Hydra, Kratos, etc.), Keycloak, Supabase Auth, Zitadel, Authentik; trade-offs em escala, complexidade e licenciamento.
- Vários enfatizam que o OAuth é melhor quando há necessidade real de delegação do usuário; para APIs simples, chaves com escopo, rotação e logs de auditoria podem ser superiores.
Especificidades da execução da Cloudflare
- Este recurso trata principalmente de OAuth para acessar contas da Cloudflare, não de um genérico “entrar com Cloudflare” para apps arbitrários.
- A implementação é baseada em Ory Hydra; há curiosidade técnica sobre migrações e desempenho.
- Crítica mais ampla de que a Cloudflare frequentemente lança muitos produtos rapidamente, mas demora a polir e concluir recursos e ferramentas básicas (por exemplo, lacunas no wrangler).