B.12. KafkaListenerAuthenticationOAuth 模式参考
用于:GenericKafkaListener
, KafkaListenerExternalIngress
, KafkaListenerExternalLoadBalancer
, KafkaListenerExternalNodePort
, KafkaListenerExternalRoute
, KafkaListenerPlain
, KafkaListenerTls
type
属性是一个光盘,它区分使用 KafkaListenerAuthenticationOAuth
类型与 KafkaListenerAuthenticationTls
、KafkaListenerAuthenticationScramSha512
。它必须具有类型 KafkaListenerAuthenticationOAuth
的值 oauth
。
属性 | 描述 |
---|---|
accessTokenIsJwt |
配置访问令牌是否被视为 JWT。如果授权服务器返回不透明令牌,则必须将此设置为 |
布尔值 | |
checkAccessTokenType |
配置是否执行访问令牌类型检查。如果授权服务器在 JWT 令牌中不包含 'typ' 声明,这应当设为 |
布尔值 | |
checkIssuer |
启用或禁用签发者检查。默认情况下,使用 |
布尔值 | |
clientId | Kafka 代理可用于向授权服务器进行身份验证并使用内省端点 URI 的 OAuth 客户端 ID。 |
字符串 | |
clientSecret | 到包含 OAuth 客户端机密的 OpenShift Secret 的链接,Kafka 代理可使用该 secret 与授权服务器进行身份验证并使用内省端点 URI。 |
disableTlsHostnameVerification |
启用或禁用 TLS 主机名验证。默认值为 |
布尔值 | |
enableECDSA |
通过安装 BouncyCastle 加密提供程序来启用或禁用 ECDSA 支持。默认值为 |
布尔值 | |
fallbackUserNameClaim |
如果 |
字符串 | |
fallbackUserNamePrefix |
与 |
字符串 | |
introspectionEndpointUri | 令牌内省端点的 URI,可用于验证不透明非 JWT 令牌。 |
字符串 | |
jwksEndpointUri | JWKS 证书端点的 URI,可用于本地 JWT 验证。 |
字符串 | |
jwksExpirySeconds |
配置 JWKS 证书的有效期。到期间隔必须至少为 60 秒,然后 |
整数 | |
jwksMinRefreshPauseSeconds | 连续两次刷新之间的最小暂停。当遇到未知签名密钥时,会立即调度刷新,但会始终等待这一最小暂停。默认值为 1 秒。 |
整数 | |
jwksRefreshSeconds |
配置刷新的 JWKS 证书的频率。刷新间隔必须至少缩短 60 秒,然后 |
整数 | |
maxSecondsWithoutReauthentication | 经过身份验证的会话保持有效的最大秒数,无需重新身份验证。这可启用 Apache Kafka 重新身份验证功能,并使会话在访问令牌过期时过期。如果访问令牌在最长时间前过期,或者达到最大时间,客户端必须重新进行身份验证,否则服务器将丢弃连接。默认情况下不设置 - 经过身份验证的会话不会在访问令牌过期时过期。 |
整数 | |
tlsTrustedCertificates | TLS 连接到 OAuth 服务器的可信证书。 |
type |
必须是 |
字符串 | |
userInfoEndpointUri | 当内省端点不返回可用于用户 ID 的信息时,用作回退的 User Info Endpoint 的 URI 用于获取用户 ID。 |
字符串 | |
userNameClaim |
来自 JWT 身份验证令牌的声明名称、内省端点响应或用户 Info Endpoint 响应,它们将用于提取用户 ID。默认值为 |
字符串 | |
validIssuerUri | 用于身份验证的令牌签发者的 URI。 |
字符串 | |
validTokenType |
Introspection Endpoint 返回的 |
字符串 |