13.2.7. KafkaListenerAuthenticationOAuth 模式参考
type
属性是一个光盘,它区分使用 KafkaListenerAuthenticationOAuth
类型与 KafkaListenerAuthenticationTls
、KafkaListenerAuthenticationScramSha512
。它必须具有类型 KafkaListenerAuthenticationOAuth
的值 oauth
。
属性 | 描述 |
---|---|
accessTokenIsJwt |
配置访问令牌是否被视为 JWT。如果授权服务器返回不透明令牌,则必须将此设置为 |
布尔值 | |
checkAccessTokenType |
配置是否执行访问令牌类型检查。如果授权服务器在 JWT 令牌中不包含 'typ' 声明,这应当设为 |
布尔值 | |
checkAudience |
启用或禁用受众检查。使用者检查可识别令牌的接收者。如果启用了使用者检查,还必须使用 |
布尔值 | |
checkIssuer |
启用或禁用签发者检查。默认情况下,使用 |
布尔值 | |
clientAudience |
向授权服务器的令牌端点发出请求时使用的受众。用于代理验证,并使用 |
字符串 | |
clientId | Kafka 代理可用于向授权服务器进行身份验证并使用内省端点 URI 的 OAuth 客户端 ID。 |
字符串 | |
clientScope |
向授权服务器的令牌端点发出请求时使用的范围。用于代理验证,并使用 |
字符串 | |
clientSecret | 到包含 OAuth 客户端机密的 OpenShift Secret 的链接,Kafka 代理可使用该 secret 与授权服务器进行身份验证并使用内省端点 URI。 |
customClaimCheck | jsonpath 过滤器查询应用到 JWT 令牌或内省端点的响应,以进行额外的令牌验证。默认情况下不设置。 |
字符串 | |
disableTlsHostnameVerification |
启用或禁用 TLS 主机名验证。默认值为 |
布尔值 | |
enableECDSA |
|
布尔值 | |
enableOauthBearer |
通过 SASL_OAUTHBEARER 启用或禁用 OAuth 身份验证。默认值为 |
布尔值 | |
enablePlain |
通过 SASL_PLAIN 启用或禁用 OAuth 身份验证。在使用此机制时,不支持再验证。默认值为 |
布尔值 | |
fallbackUserNameClaim |
如果 |
字符串 | |
fallbackUserNamePrefix |
与 |
字符串 | |
introspectionEndpointUri | 令牌内省端点的 URI,可用于验证不透明非 JWT 令牌。 |
字符串 | |
jwksEndpointUri | JWKS 证书端点的 URI,可用于本地 JWT 验证。 |
字符串 | |
jwksExpirySeconds |
配置 JWKS 证书的有效期。到期间隔必须至少为 60 秒,然后 |
整数 | |
jwksMinRefreshPauseSeconds | 连续两次刷新之间的最小暂停。当遇到未知签名密钥时,会立即调度刷新,但会始终等待这一最小暂停。默认值为 1 秒。 |
整数 | |
jwksRefreshSeconds |
配置刷新的 JWKS 证书的频率。刷新间隔必须至少缩短 60 秒,然后 |
整数 | |
maxSecondsWithoutReauthentication |
经过身份验证的会话保持有效的最大秒数,无需重新身份验证。这可启用 Apache Kafka 重新身份验证功能,并使会话在访问令牌过期时过期。如果访问令牌在最长时间前过期,或者达到最大时间,客户端必须重新进行身份验证,否则服务器将丢弃连接。默认情况下不设置 - 经过身份验证的会话不会在访问令牌过期时过期。这个选项只适用于 SASL_OAUTHBEARER 身份验证机制(当 |
整数 | |
tlsTrustedCertificates | TLS 连接到 OAuth 服务器的可信证书。 |
tokenEndpointUri |
客户端通过 |
字符串 | |
type |
必须是 |
字符串 | |
userInfoEndpointUri | 当内省端点不返回可用于用户 ID 的信息时,用作回退的 User Info Endpoint 的 URI 用于获取用户 ID。 |
字符串 | |
userNameClaim |
来自 JWT 身份验证令牌的声明名称、内省端点响应或用户 Info Endpoint 响应,它们将用于提取用户 ID。默认值为 |
字符串 | |
validIssuerUri | 用于身份验证的令牌签发者的 URI。 |
字符串 | |
validTokenType |
Introspection Endpoint 返回的 |
字符串 |