Cloudflare, 모든 고객을 위한 자체 관리형 OAuth 출시
Cloudflare, 모든 고객을 위한 자체 관리형 OAuth 출시
Cloudflare, 모든 고객에게 OAuth 제공
Cloudflare의 새로운 자체 관리형 OAuth 기능을 통해 모든 Cloudflare 계정이 자체 OAuth 애플리케이션을 생성할 수 있게 되었으며, 개발자는 장기 유효 API 토큰에 의존하지 않고 표준적이고 취소 가능하며 동의 기반의 방식으로 Cloudflare API에 접근할 수 있습니다.
왜 범용 OAuth가 중요한가
- 보안 향상 – 사용자는 명확한 동의 화면을 확인하고 대시보드에서 접근을 취소할 수 있으며, 피싱 공격으로부터 보호됩니다.
- 개발자 경험 개선 – 범위 기반 접근은 최신 SaaS 및 내부 플랫폼 워크플로와 일치하여 부서진 API 토큰 관리의 필요성을 없앱니다.
- 생태계 성장 – OAuth를 개방함으로써 서드파티 통합, 에이전시 도구, 맞춤 자동화 파이프라인에 대한 장벽이 사라집니다.
OAuth 엔진을 안전하게 확장하기
Cloudflare의 초기 OAuth 구현은 오픈소스 Hydra 엔진을 사용했으며, 수동으로 온보딩된 소수 파트너에게는 충분했습니다. 개발자 플랫폼이 확대되면서 팀은 세 가지 중요한 격차를 인식했습니다:
- 권한 모델 – 이전 동의 흐름은 애플리케이션 정체성과 부여된 스코프를 명확히 구분하지 못했습니다.
- 취소 경험 – 사용자가 앱 접근을 쉽게 확인하거나 취소할 수 없었습니다.
- 오용 방지 – 엔진에 대규모 자동화 사용을 위한 견고한 보호 장치가 부족했습니다.
이 격차를 해소하기 위해 Cloudflare는 동의 UI를 업데이트하고, 대시보드에 취소 제어를 추가했으며, 앱 소유권을 사용자에게 표시하도록 만들었습니다.
Hydra 1.X → 2.X 업그레이드 전략
2단계 업그레이드 계획
- Step 1 – 1.X 마이그레이션 – 최신 1.X 릴리스로 이동하고, 스키마 마이그레이션을
CREATE INDEX CONCURRENTLY를 사용하도록 재작성하며, 잠금 경쟁을 피하기 위해SELECT *쿼리를 명시적 컬럼 리스트로 교체합니다. - Step 2 – 2.X 마이그레이션 – 대규모 스키마 변경을 처리하면서 다운타임을 방지하기 위해 블루‑그린 아키텍처를 배포합니다.
블루‑그린 마이그레이션 상세
- Write‑enabled 접근 – 모든 쓰기를 비활성화하는 대신, Cloudflare는 토큰 TTL을 몇 시간으로 연장하여 전환 중에도 기존 토큰이 유효하도록 했습니다.
- 취소 재생 큐 – 마이그레이션 동안 취소 이벤트를 캡처하는 Cloudflare Queue가 존재하며, 전환 후 큐를 비워 놓친 취소를 재생함으로써 접근이 실수로 재부여되는 것을 방지합니다.
실행 결과
1.X 업그레이드
- 마이그레이션이 사용자에 영향을 주지 않고 완료되었습니다.
- 새로운 더 엄격한 refresh‑token 무효화가 가끔 토큰 체인 무효화를 일으켰으며, Cloudflare는 Worker에 refresh‑token 병합 레이어를 추가하고 Hydra 2.X의 구성 가능한 유예 기간을 활용해 이를 완화했습니다.
2.X 업그레이드
- 가장 낮은 요청량 시간에 마이그레이션 창을 선택했으며, 전체 실행 시간은 약 3시간이었습니다.
- 전환 후, 데이터 정리 작업이 유효한 OAuth 정책 데이터를 잘못 삭제해 403 응답이 급증했습니다. 해당 문제는 데이터를 복구하고 권한 로직을 개선함으로써 해결되었습니다.
- 롤아웃 이후 추가적인 클라이언트‑특화 조정이 신속히 적용되었습니다.
업그레이드 후 성능 향상
| Metric | Before | After | Δ |
|---|---|---|---|
| API P95 latency | 185 ms | 101 ms | ‑45 % |
| RSS memory | 888 MB | 763 MB | ‑14 % |
| Go heap allocation | 449 MB | 271 MB | ‑40 % |
| Goroutine count | 4,015 | 3,076 | ‑23 % |
| CPU usage | 1.07 cores | 0.67 cores | ‑37 % |
데이터베이스 마이그레이션 통계도 작업 규모를 보여줍니다:
- 132.5 M rows updated
- 114.7 M rows inserted
- 136.97 GB temporary storage used
- 22.2 k transaction commits
자체 관리형 OAuth 시작하기
개발자는 이제 Cloudflare 대시보드 또는 공식 문서를 통해 직접 OAuth 앱을 생성할 수 있습니다:
- Documentation: https://developers.cloudflare.com/fundamentals/oauth/
- Dashboard link: https://dash.cloudflare.com/?to=/:account/oauth-clients
모든 고객이 OAuth 클라이언트를 등록할 수 있게 함으로써, Cloudflare는 더 풍부한 앱 생태계, 강화된 보안, 그리고 웹 전반에 걸친 원활한 통합 워크플로를 위한 기반을 마련했습니다.
SUMMARY: Cloudflare는 OAuth 플랫폼을 모든 고객에게 개방하여, 위임된 API 접근을 위한 자체 OAuth 클라이언트를 생성·관리할 수 있게 함으로써 보안, 동의 및 통합 역량을 향상시켰습니다.
TITLE: Cloudflare, 모든 고객을 위한 자체 관리형 OAuth 출시