13.2.7. KafkaListenerAuthenticationOAuth 模式参考
type 属性是一个光盘,它区分使用 KafkaListenerAuthenticationOAuth 类型与 KafkaListenerAuthenticationTls、KafkaListenerAuthenticationScramSha512。它必须具有类型 KafkaListenerAuthenticationOAuth 的值 oauth。
| 属性 | 描述 |
|---|---|
| accessTokenIsJwt |
配置访问令牌是否被视为 JWT。如果授权服务器返回不透明令牌,则必须将此设置为 |
| 布尔值 | |
| checkAccessTokenType |
配置是否执行访问令牌类型检查。如果授权服务器在 JWT 令牌中不包含 'typ' 声明,这应当设为 |
| 布尔值 | |
| checkAudience |
启用或禁用受众检查。使用者检查可识别令牌的接收者。如果启用了使用者检查,还必须使用 |
| 布尔值 | |
| checkIssuer |
启用或禁用签发者检查。默认情况下,使用 |
| 布尔值 | |
| clientAudience |
向授权服务器的令牌端点发出请求时使用的受众。用于代理验证,并使用 |
| 字符串 | |
| clientId | Kafka 代理可用于向授权服务器进行身份验证并使用内省端点 URI 的 OAuth 客户端 ID。 |
| 字符串 | |
| clientScope |
向授权服务器的令牌端点发出请求时使用的范围。用于代理验证,并使用 |
| 字符串 | |
| clientSecret | 到包含 OAuth 客户端机密的 OpenShift Secret 的链接,Kafka 代理可使用该 secret 与授权服务器进行身份验证并使用内省端点 URI。 |
| customClaimCheck | jsonpath 过滤器查询应用到 JWT 令牌或内省端点的响应,以进行额外的令牌验证。默认情况下不设置。 |
| 字符串 | |
| disableTlsHostnameVerification |
启用或禁用 TLS 主机名验证。默认值为 |
| 布尔值 | |
| enableECDSA |
|
| 布尔值 | |
| enableOauthBearer |
通过 SASL_OAUTHBEARER 启用或禁用 OAuth 身份验证。默认值为 |
| 布尔值 | |
| enablePlain |
通过 SASL_PLAIN 启用或禁用 OAuth 身份验证。在使用此机制时,不支持再验证。默认值为 |
| 布尔值 | |
| fallbackUserNameClaim |
如果 |
| 字符串 | |
| fallbackUserNamePrefix |
与 |
| 字符串 | |
| introspectionEndpointUri | 令牌内省端点的 URI,可用于验证不透明非 JWT 令牌。 |
| 字符串 | |
| jwksEndpointUri | JWKS 证书端点的 URI,可用于本地 JWT 验证。 |
| 字符串 | |
| jwksExpirySeconds |
配置 JWKS 证书的有效期。到期间隔必须至少为 60 秒,然后 |
| 整数 | |
| jwksMinRefreshPauseSeconds | 连续两次刷新之间的最小暂停。当遇到未知签名密钥时,会立即调度刷新,但会始终等待这一最小暂停。默认值为 1 秒。 |
| 整数 | |
| jwksRefreshSeconds |
配置刷新的 JWKS 证书的频率。刷新间隔必须至少缩短 60 秒,然后 |
| 整数 | |
| maxSecondsWithoutReauthentication |
经过身份验证的会话保持有效的最大秒数,无需重新身份验证。这可启用 Apache Kafka 重新身份验证功能,并使会话在访问令牌过期时过期。如果访问令牌在最长时间前过期,或者达到最大时间,客户端必须重新进行身份验证,否则服务器将丢弃连接。默认情况下不设置 - 经过身份验证的会话不会在访问令牌过期时过期。这个选项只适用于 SASL_OAUTHBEARER 身份验证机制(当 |
| 整数 | |
| tlsTrustedCertificates | TLS 连接到 OAuth 服务器的可信证书。 |
| tokenEndpointUri |
客户端通过 |
| 字符串 | |
| type |
必须是 |
| 字符串 | |
| userInfoEndpointUri | 当内省端点不返回可用于用户 ID 的信息时,用作回退的 User Info Endpoint 的 URI 用于获取用户 ID。 |
| 字符串 | |
| userNameClaim |
来自 JWT 身份验证令牌的声明名称、内省端点响应或用户 Info Endpoint 响应,它们将用于提取用户 ID。默认值为 |
| 字符串 | |
| validIssuerUri | 用于身份验证的令牌签发者的 URI。 |
| 字符串 | |
| validTokenType |
Introspection Endpoint 返回的 |
| 字符串 |