4.4. 使用基于 OAuth 2.0 令牌的身份验证
AMQ Streams 支持使用 SASL OAUTHBEARER 机制进行 OAuth 2.0 身份验证。
OAuth 2.0 支持应用之间基于令牌的标准化身份验证和授权,使用中央授权服务器发布对资源的有限访问权限的令牌。
您可以配置 OAuth 2.0 身份验证,然后配置 OAuth 2.0 授权。
OAuth 2.0 身份验证也可与 简单 或基于 OPA 的 Kafka 授权 一起使用。
通过使用基于 OAuth 2.0 令牌的身份验证,应用客户端可以访问应用服务器(称为 资源服务器)上的资源,而无需公开帐户凭据。
应用客户端通过访问令牌来进行身份验证,应用服务器也可以使用该令牌来确定要授予的访问权限级别。授权服务器处理关于访问权限的访问和咨询。
在 AMQ Streams 中:
- Kafka 代理充当 OAuth 2.0 资源服务器
- Kafka 客户端充当 OAuth 2.0 应用程序客户端
Kafka 客户端向 Kafka 代理进行身份验证。代理和客户端根据需要与 OAuth 2.0 授权服务器通信,以获取或验证访问令牌。
对于 AMQ Streams 的部署,OAuth 2.0 集成提供:
- 对 Kafka 代理的服务器端 OAuth 2.0 支持
- 客户端 OAuth 2.0 支持 Kafka MirrorMaker、Kafka Connect 和 Kafka Bridge
其他资源
4.4.1. OAuth 2.0 身份验证机制
Kafka SASL OAUTHBEARER 机制用于通过 Kafka 代理建立经过身份验证的会话。
Kafka 客户端使用 SASL OAUTHBEARER 机制与 Kafka 代理启动会话,其中凭证采用访问令牌的形式。
Kafka 代理和客户端需要配置为使用 OAuth 2.0。
