4.4.3. Kafka 代理的会话重新身份验证

Kafka SASL OAUTHBEARER 机制用于 AMQ Streams 中的 OAuth 2.0 身份验证，它支持一个名为 重新身份验证 机制的 Kafka 功能。

当在 oauth 类型监听器的配置中启用重新身份验证机制时，代理通过身份验证的会话会在访问令牌过期时过期。然后，客户端必须通过向代理发送一个新的有效访问令牌来重新验证现有会话，而不丢弃连接。

如果令牌验证成功，则利用现有连接启动新的客户端会话。如果客户端无法重新验证，代理会在进一步尝试发送或接收消息时关闭连接。如果在代理中启用了重新身份验证机制，使用 Kafka 客户端库 2.2 或更高版本的 Java 客户端会自动重新验证。

您可以在 Kafka 资源中启用会话重新身份验证。使用 type: oauth 身份验证为 TLS 侦听器设置 maxSecondsWithoutReauthentication 属性。会话重新身份验证支持两种类型的令牌验证（快速本地 JWT 和内省端点）。有关配置示例，请参阅 第 4.4.6.2 节 “配置 Kafka 代理的 OAuth 2.0 支持”。

有关重新身份验证机制（在 Kafka 版本 2.2 中添加）的更多信息，请参阅 KIP-368。