Cloudflare 这次开放的不是“首次支持 OAuth”。Wrangler、PlanetScale 这类少数集成,之前已经能走 OAuth。
变化在于门槛。过去第三方 OAuth 主要给少数人工接入伙伴。现在,所有客户都可以自托管 OAuth 应用,让用户授权第三方工具访问 Cloudflare API。
这件事看着像登录和权限体验升级,实际是在给开发者生态修入口。API Token 还能用,但它不适合继续扛开放生态的主通道。
开放后,谁最先少踩坑
以前普通开发者做 Cloudflare API 集成,常见做法是让用户创建 API Token,再复制粘贴到第三方工具里。
这套流程能跑,但问题不少:权限边界不直观,授权关系不清楚,撤销也不够像一个面向普通用户的产品流程。
OAuth 把这件事改成标准动作:应用请求范围权限,用户在同意页确认,之后可在仪表盘撤销。Cloudflare 也补了应用所有者展示,降低钓鱼式授权的空间。
| 对象 | 过去常见做法 | 现在变化 | 直接影响 |
|---|---|---|---|
| SaaS 集成团队 | 让用户手动创建并粘贴 API Token | 创建 OAuth 应用,走用户授权 | 接入说明更短,权限解释更清楚 |
| 内部开发者平台 | 集中保管 Token,靠流程约束 | 按应用、按范围授权 | 审计、撤销、责任边界更好做 |
| Agent 工具团队 | 倾向拿长期、宽泛凭证 | 请求特定范围的委托访问 | 更适合让工具替用户执行操作,但仍要控权限 |
| Cloudflare 平台 | 人工接入少数伙伴 | 客户可自行创建 OAuth 应用 | 生态扩张更快,平台也更需要治理 |
对做 SaaS 集成的团队,下一步很具体:新集成可以优先评估 OAuth,而不是继续写一页“请去控制台创建 Token”的教程。
对已有集成,没必要立刻推倒重来。更现实的做法是先把高风险、面向外部用户、权限解释成本高的场景迁到 OAuth。内部脚本和一次性自动化,API Token 仍可能够用。
限制也要说清楚。OAuth 让授权关系可见,不等于风险消失。用户还是可能点错同意,应用还是可能过度索权,第三方服务被攻破后仍会带来连带风险。
这次改进的是授权入口,不是给生态打了免疫针。
真正难的,是先还 OAuth 基础设施债
Cloudflare 原文里最有信息量的部分,不是“开放了 OAuth”,而是它升级了底层 OAuth 引擎 Hydra。
这说明一件事:把 OAuth 从少数伙伴放大到所有客户,不是加一个按钮。平台要先确认同意、撤销、权限可见性和迁移稳定性扛得住。
Cloudflare 多年前用开源 OAuth 引擎 Hydra 支撑相关能力。这次先升到 1.X,再升到 2.X。迁移里,它改写了 SQL,避开关键表独占锁,也处理了旧 SDK 中 SELECT * 带来的反序列化问题。
2.X 升级采用蓝绿迁移。生产迁移大约 3 小时。
最关键的不是数据搬家,而是撤销事件不能丢。用户在迁移窗口里撤销了某个应用,切换后权限不能“复活”。Cloudflare 的做法是用队列记录撤销事件,切换后回放。
这个细节比漂亮口号重要。权限系统一旦让用户觉得撤销不可靠,信任就很难补回来。
性能指标也有改善:
| 指标 | 升级前 | 升级后 | 变化 |
|---|---|---|---|
| API P95 | 185ms | 101ms | 下降约 45% |
| RSS 内存 | 888MB | 763MB | 下降约 14% |
| Go heap | 449MB | 271MB | 下降约 40% |
| CPU | 1.07 cores | 0.67 cores | 下降约 37% |
但迁移过程也露了旧账。
升级 1.X 后,refresh token 行为变严格,一些高请求量客户端触发链式失效。升级 2.X 后,又出现过部分 403,以及会话状态迁移导致的授权服务分歧。
这不算灾难。反而说明开放生态前,Cloudflare 必须把过去少数伙伴模式下能人工兜底的问题,改成系统自己处理。
小规模接入靠人盯。全量开放靠机制扛。
开放是对的,分水岭在管得住
我更在意的不是 Cloudflare 多了一个 OAuth 能力,而是它终于把 API Token 放回了更合适的位置。
Token 像一把钥匙。简单,直接,也粗糙。谁拿到、拿多久、能开几扇门、用户怎么反悔,规模一大就全是治理成本。
OAuth 不是银弹。它只是把“复制一串密钥”改成“用户同意一个应用拿某些权限”。这一步很重要,但后面的麻烦才刚开始。
Cloudflare 服务帮助运行约 20% 的 Web。这个体量决定了它不只是 API 提供者,也越来越像一个基础设施操作系统。
操作系统最怕的不是没人开发应用,而是应用多了以后,权限市场失控。
PC 时代有驱动和安装包,移动时代有应用商店审核,云平台时代有 IAM 和审计。今天轮到 Cloudflare 这类边缘与开发者平台补课。历史不完全一样,但权力结构很像:入口越开放,平台越要会管入口。
“水能载舟,亦能覆舟。”放在这里不玄。OAuth 承载的是生态扩张,翻船点也是权限滥用。
接下来最该看三件事。
一是权限范围会不会足够细。范围太粗,OAuth 只是换了个更漂亮的 Token。
二是应用展示、撤销和审计是否够清楚。开发者能不能解释,用户能不能看懂,企业能不能追责。
三是 agentic tools 会不会把委托访问压力放大。现在还不能把它写成成熟落地,但需求已经在推平台提前修路。
对开发者来说,这次开放是好事。少写 Token 教程,少背宽权限凭证的锅,产品接入也更像正经授权流程。
对 Cloudflare 来说,这也是一次换账本。过去省下的生态治理成本,现在要补回来。开放能带来更多集成,也会带来更多滥用、误用和责任争议。
这次少见地做对了。但代价还没结清。
路修好了,车会更多。车多以后,真正考验的不是路面,而是闸门、交规和执法。