Cloudflare abre OAuth autoadministrado a todos los desarrolladores

Fuentes: Unlocking the Cloudflare app ecosystem with OAuth for all

Cloudflare ha abierto a todos sus clientes la posibilidad de crear y gestionar sus propios clientes OAuth contra la API de su plataforma, una capacidad que hasta ahora estaba restringida a un puñado de socios integrados manualmente. Con OAuth autoadministrado, los desarrolladores pueden ofrecer un flujo estándar en el que el usuario concede accesos con permisos delimitados, lo que facilita la construcción de integraciones SaaS, plataformas internas de desarrollo y herramientas agenticas, al tiempo que mejora el control sobre consentimientos y revocaciones.

La apertura obligó a renovar el motor de autenticación. Cloudflare utilizaba desde hace años Hydra, de Ory, en una versión antigua que ya no soportaba las nuevas necesidades de rendimiento y seguridad. La migración se planteó en dos fases: primero, la última versión 1.X, y después, la 2.X. Para la primera fase, el equipo tuvo que reescribir las migraciones SQL con el fin de evitar bloqueos exclusivos sobre tablas críticas, y compiló una versión personalizada de Hydra para impedir errores de deserialización provocados por consultas SELECT *.

La actualización a 2.X, mucho más profunda, descartó una migración in situ por la magnitud de los cambios de esquema y se ejecutó con una estrategia blue-green. Para no interrumpir el servicio, Cloudflare amplió la expiración de los tokens, capturó los eventos de revocación en una cola basada en Cloudflare Queues y los reprodujo tras el corte. Además, añadió coalescencia de tokens de refresco en el Worker que enruta el tráfico OAuth para evitar invalidaciones masivas de sesión en clientes de alto volumen como Wrangler o clientes MCP.