适用于所有人的 OAuth
Cloudflare 的方向和商业模式
- 有些人担心 Cloudflare 正从“简单基础设施 + 保护”转向一种会产生锁定效应的云平台,若更高利润率的服务占据主导,最终可能削减免费层。
- 也有人认为,免费产品是其核心漏斗,并且很可能会继续保留;而“云”是其最初 CDN/DDOS 使命的自然延伸。
- 对中心化的担忧:Cloudflare 正成为网络中的关键瓶颈,这与去中心化互联网的理想相冲突。
Cloudflare API 的 OAuth:优点与风险
- 支持者认为 OAuth 比原始 API 密钥更安全:可委托访问、权限范围更细、轮换更容易、用户需要处理的密钥更少。
- 怀疑者指出,对于基础设施账户,通过 OAuth 委托给第三方工具可能带来真实成本;如果权限范围过宽,或者用户误解提示信息,就可能被滥用。
- 有几位指出,AWS 和其他公司已经支持类似的委托流程(通过 IAM/OIDC),尽管实现方式可能令人困惑。
复杂性、可用性与“认证疲劳”
- 许多人认为 OAuth2/OIDC、IAM 和企业级认证过度设计、令人困惑,而且充满陷阱,尤其是在简单的服务器到服务器场景中。
- 也有人认为,这种复杂性来自企业需求和委员会式设计;只要阅读规范并使用经过充分测试的库,就能将其控制在可管理范围内。
- 一个反复出现的诉求是:对于个人或小规模项目,“直接给我一个 API 密钥”就好;担心简单选项会消失。
隐私与中心化身份担忧
- 强烈担心 OAuth 提供方可以看到用户在何时何地登录,并且在技术上可以冒充他们或为他人授予访问权限。
- 与基于电子邮件的注册相比:提供方本来就能看到账户创建,但 OAuth 增加了精确的登录时间,并让更多权力集中化。
- 有些人主张使用自托管或基于域名的身份(IndieAuth、自托管 OIDC)以获得更好的隐私,但采用率很低。
生态系统与替代方案
- 讨论了其他 IAM/OAuth 技术栈:Ory(Hydra、Kratos 等)、Keycloak、Supabase Auth、Zitadel、Authentik;它们在规模、复杂性和许可方面各有取舍。
- 几位强调,OAuth 最适合真正需要用户委托的场景;对于简单 API,带范围控制的密钥配合轮换和审计日志可能更优。
Cloudflare 的执行细节
- 这项功能主要是通过 OAuth 访问 Cloudflare 账户,而不是为任意应用提供通用的“使用 Cloudflare 登录”。
- 实现基于 Ory Hydra;有人对迁移和性能表现出技术上的好奇。
- 更广泛的批评是,Cloudflare 往往很快推出许多产品,但在打磨和完善基础功能及工具方面较慢,例如 wrangler 的缺口。