Cloudflareプラットフォーム制限 & コスト

AuthrimはCloudflare Workers上で完全に動作します。このページでは、Authrimの運用に影響するプラットフォーム制限と、各種利用規模でのコスト試算を文書化しています。

主要な制限の概要

50 / 1,000

外部fetchサブリクエスト上限

Freeプラン: 50回/呼出。Paidプラン: 1,000回/呼出。

1,000

内部サービス呼出上限

KV、DO、D1の呼出回数 — 全プラン共通。

10–30

典型的な内部呼出数

Authrimの1リクエストあたりの典型的な内部サブリクエスト数。

$5/月

Workers Paid Plan基本料金

Workers Paid Planの最低月額費用。

サブリクエスト制限

Cloudflare Workersには2種類のサブリクエスト制限があります:

カテゴリ	Freeプラン	Paidプラン	対象オペレーション
外部fetch	50回/呼出	1,000回/呼出	外部オリジンへの`fetch()`
内部サービス	1,000回/呼出	1,000回/呼出	KV、DO、D1、R2、Queues等

重要な区別: 外部fetch制限は外部オリジンへのHTTPリクエストにのみ適用されます。内部サービスバインディング（KV読み書き、DOリクエスト、D1クエリ）には、全プランで同一の1,000回制限が別途適用されます。

flowchart LR
    W["Worker 呼出"]
    subgraph external["外部Fetch (50/1,000)"]
        EF1["IdP トークンエンドポイント"]
        EF2["IdP UserInfo"]
        EF3["JWKS 取得"]
    end
    subgraph internal["内部サービス (1,000)"]
        KV["KV Storage"]
        DO["Durable Objects"]
        D1["D1 Database"]
    end
    W -->|"fetch()"| external
    W -->|"binding"| internal

Authrimは通常1リクエストあたり10〜30回の内部サービス呼出を行い、1,000回制限の範囲内に十分収まります。外部fetchはIdPフェデレーションフロー（コールバック、外部プロバイダとのトークン交換）でのみ必要です。

フロー別サブリクエスト分析

認可エンドポイント — OAuthフローを開始します。

リソース	回数	説明
外部HTTP	0–2	JWKS取得（キャッシュミス時）、IdPリダイレクト
KV	3–5	セッション検索、クライアント設定、OIDCメタデータ
DO	1–2	セッション検証、認可コード作成
D1	2–4	ユーザー検索、同意確認
合計	6–13

OAuthコールバック — 外部IdPからの応答を処理します。

リソース	回数	説明
外部HTTP	4–6	トークン交換、UserInfo、JWKS、emails API
KV	3–5	State検証、クライアント設定、ユーザーキャッシュ
DO	2–3	セッション作成、認可コード発行
D1	3–5	ユーザー作成/更新、同意、グラント記録
合計	12–19

このフローはIdP通信のため最も外部fetch数が多いフローです。Freeプラン（50制限）でも安全ですが、余裕は少なくなります。

トークンエンドポイント — コード交換、リフレッシュ、クライアントクレデンシャル。

リソース	回数	説明
外部HTTP	0–1	JWKS取得（稀、キャッシュミス時）
KV	3–5	クライアント認証、トークンメタデータ、JWKSキャッシュ
DO	2–4	認可コード検証、リフレッシュトークンローテーション
D1	3–5	グラント検索、トークン永続化、ユーザーデータ
合計	8–15

管理API — ユーザー、クライアント、ロール、ポリシー管理。

リソース	回数	説明
外部HTTP	0–2	Webhook通知、SCIMスync
KV	2–5	設定キャッシュ、RBACキャッシュ
DO	0–1	レート制限
D1	3–8	CRUD操作（エンドポイントにより変動）
合計	5–16

OIDCバックチャネルログアウト — RPへのログアウト伝播。

リソース	回数	説明
外部HTTP	1–2	RPへのログアウトトークン配信
KV	2–3	セッション検索、RP設定
DO	1–2	セッション無効化
D1	2–3	セッションクリーンアップ、監査ログ
合計	6–10

リスクエリア

料金リファレンス

Cloudflare Workers Paid Plan（$5/月基本料金）の料金:

サービス	無料枠	超過料金
Workers リクエスト	10M/月	$0.30/百万
KV reads	10M/月	$0.50/百万
KV writes	1M/月	$5.00/百万
D1 rows read	25B/月	$0.001/百万
D1 rows written	50M/月	$1.00/百万
DO リクエスト	1M/月	$0.15/百万
DO duration	400K GB-s/月	$12.50/百万GB-s

コストモデル

利用パターン

指標	Light（社内ツール等）	Standard（一般的なWebアプリ）	Heavy（SPA/モバイル）
ログイン/MAU/月	4	8	15
サイレント認証/ログイン	5	10	20
リフレッシュ/ログイン	2	3	6
API呼出/ログイン	2	5	10
リクエスト/MAU/月	36	152	555

コスト試算

	Light	Standard	Heavy
総リクエスト	360K	1.52M	5.55M
Workers	$5.00	$5.00	$5.00
KV	$0.00	$0.00	$0.00
DO	$0.00	$0.08	$0.68
D1	$0.00	$0.00	$0.00
月額	~$5	~$5	~$6

このスケールでは全利用が無料枠内に収まります。Workers基本料金のみが適用されます。

	Light	Standard	Heavy
総リクエスト	3.6M	15.2M	55.5M
Workers	$5.00	$6.56	$18.65
KV	~$1	~$18	~$95
DO	$0.39	$3.43	$13.35
D1	$0.00	$0.00	$0.00
月額	~$6	~$33	~$132

このスケールではKV writeが主要なコストドライバーになります。

	Light	Standard	Heavy
総リクエスト	36M	152M	555M
Workers	$12.80	$47.60	$168.50
KV	~$26	~$223	~$890
DO	$5.15	$44.45	$163.35
D1	$0.00	$0.00	$0.00
月額	~$49	~$320	~$1,227

1M MAUではKV writeコストが支配的です。D1は大半のケースで25B rows/月の無料枠内に収まります。

インタラクティブ試算ツール

月間アクティブユーザー数（MAU）

10,000

ログイン / MAU / 月

サイレント認証 / ログイン

トークンリフレッシュ / ログイン

API呼出 / ログイン

SSO連携サービス数

$5.00 /月

ユーザーあたり $0.0005

総リクエスト数/月 1.5M

Workers $5.00

KV 合計 $0.00

KV Reads $0.00

KV Writes $0.00

Durable Objects $0.00

D1 Database $0.00

最適化のヒント

Paid Plan推奨 — Freeプランの外部fetch 50制限はOAuthコールバックフローで不足するリスクがあります。Paid Plan（$5/月）で1,000に引き上げられます。
KV writeの最小化 — KV writeコスト（$5/百万）はread（$0.50/百万）の10倍です。積極的にキャッシュし、可能な場合はバッチ更新してください。
IATトークン数の管理 — ユーザーあたりのアクティブトークン数を制限し、無制限の KV.list() + KV.get() チェーンを防止してください。
JWKSキャッシュの活用 — AuthrimはDurable ObjectsにJWKSキーをキャッシュし、繰り返しの外部fetchを回避しています。キャッシュTTLが適切に設定されていることを確認してください。
DOリクエスト量の監視 — Durable Objectリクエストは認証トラフィックに比例してスケールします。シャーディングで負荷を分散し、シャード利用率を監視してください。