主页
产品
Red Hat AMQ
2021.Q3
在 RHEL 中使用 AMQ Streams
4.10.2.4. OAuth 2.0 内省端点配置

4.10.2.4. OAuth 2.0 内省端点配置

使用 OAuth 2.0 内省端点进行令牌验证，将收到的访问令牌视为不透明。Kafka 代理将访问令牌发送到内省端点，该端点使用验证所需的令牌信息进行响应。更重要的是，如果特定访问令牌有效，它将返回最新信息，以及关于令牌何时到期的信息。

要配置基于 OAuth 2.0 内省的验证，您需要指定一个 内省端点 URI，而不是为快速本地 JWT 令牌验证指定的 JWKs 端点 URI。根据授权服务器，您通常必须指定 客户端 ID 和客户端 机密，因为内省端点通常受到保护。

内省端点的属性示例

listener.name.client.oauthbearer.sasl.jaas.config=org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required \
  oauth.introspection.endpoint.uri="https://AUTH-SERVER-ADDRESS/introspection" \ 
  oauth.client.id="kafka-broker" \ 
  oauth.client.secret="kafka-broker-secret" \ 
  oauth.ssl.truststore.location="PATH-TO-TRUSTSTORE-P12-FILE" \ 
  oauth.ssl.truststore.password="TRUSTSTORE-PASSWORD" \ 
  oauth.ssl.truststore.type="PKCS12" \ 
  oauth.username.claim="preferred_username" ;

listener.name.client.oauthbearer.sasl.jaas.config=org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required \
  oauth.introspection.endpoint.uri="https://AUTH-SERVER-ADDRESS/introspection" \


  oauth.client.id="kafka-broker" \


  oauth.client.secret="kafka-broker-secret" \


  oauth.ssl.truststore.location="PATH-TO-TRUSTSTORE-P12-FILE" \


  oauth.ssl.truststore.password="TRUSTSTORE-PASSWORD" \


  oauth.ssl.truststore.type="PKCS12" \


  oauth.username.claim="preferred_username" ;

Copy to Clipboard

Toggle word wrap

1: OAuth 2.0 内省端点 URI。例如： https://AUTH-SERVER-ADDRESS/auth/realms/REALM-NAME/protocol/openid-connect/token/introspect。
2: Kafka 代理的客户端 ID。
3: Kafka 代理的 secret。
4: TLS 配置中使用的信任存储的位置。
5: 用于访问信任存储的密码。
6: PKCS #12 格式的信任存储类型。
7: 在令牌中包含实际用户名的令牌声明（或密钥）。用户名 是用于 标识用户的主体。oauth.username.claim 的值取决于所使用的授权服务器。

返回顶部

4.10.2.4. OAuth 2.0 内省端点配置

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links