13.2.7. KafkaListenerAuthenticationOAuth 模式参考

accessTokenIsJwt

配置访问令牌是否被视为 JWT。如果授权服务器返回不透明令牌，则必须将此设置为 false。默认值为 true。

布尔值

checkAccessTokenType

配置是否执行访问令牌类型检查。如果授权服务器在 JWT 令牌中不包含 'typ' 声明，这应当设为 false。默认值为 true。

布尔值

checkAudience

启用或禁用受众检查。使用者检查可识别令牌的接收者。如果启用了使用者检查，还必须使用 clientId 属性配置 OAuth 客户端 ID。Kafka 代理将拒绝在 aud (audience)claim.Default 值为 false 中没有 clientId 的令牌。

布尔值

checkIssuer

启用或禁用签发者检查。默认情况下，使用 validIssuerUri 配置的值检查签发者。默认值为 true。

布尔值

clientAudience

向授权服务器的令牌端点发出请求时使用的受众。用于代理验证，并使用 clientId 和 secret 方法通过 PLAIN 配置 OAuth 2.0。

字符串

clientId

Kafka 代理可用于向授权服务器进行身份验证并使用内省端点 URI 的 OAuth 客户端 ID。

字符串

clientScope

向授权服务器的令牌端点发出请求时使用的范围。用于代理验证，并使用 clientId 和 secret 方法通过 PLAIN 配置 OAuth 2.0。

字符串

clientSecret

到包含 OAuth 客户端机密的 OpenShift Secret 的链接，Kafka 代理可使用该 secret 与授权服务器进行身份验证并使用内省端点 URI。

GenericSecretSource

customClaimCheck

jsonpath 过滤器查询应用到 JWT 令牌或内省端点的响应，以进行额外的令牌验证。默认情况下不设置。

字符串

disableTlsHostnameVerification

启用或禁用 TLS 主机名验证。默认值为 false。

布尔值

enableECDSA

enableECDSA 属性已弃用。通过安装 BouncyCastle 加密提供程序来启用或禁用 ECDSA 支持。始终启用 ECDSA 支持。BouncyCastle 库不再与 AMQ Streams 打包。值将被忽略。

布尔值

enableOauthBearer

通过 SASL_OAUTHBEARER 启用或禁用 OAuth 身份验证。默认值为 true。

布尔值

enablePlain

通过 SASL_PLAIN 启用或禁用 OAuth 身份验证。在使用此机制时，不支持再验证。默认值为 false。

布尔值

fallbackUserNameClaim

如果 userNameClaim 指定的声明不存在，则用于用户 ID 的回退用户名声明。当 client_credentials 身份验证只在另一声明中提供客户端 ID 时，这很有用。只有在设置了 userNameClaim 时，它才会生效。

字符串

fallbackUserNamePrefix

与 fallbackUserNameClaim 值一起使用的前缀来构造用户 ID。这只有在 fallbackUserNameClaim 为 true 时生效，并且该值存在该声明。将用户名和客户端 ID 映射到相同的用户 id 空间有助于防止名称冲突。

字符串

introspectionEndpointUri

令牌内省端点的 URI，可用于验证不透明非 JWT 令牌。

字符串

jwksEndpointUri

JWKS 证书端点的 URI，可用于本地 JWT 验证。

字符串

jwksExpirySeconds

配置 JWKS 证书的有效期。到期间隔必须至少为 60 秒，然后 jwksRefreshSeconds 中指定的刷新间隔必须至少为 60 秒。默认值为 360 秒。

整数

jwksMinRefreshPauseSeconds

连续两次刷新之间的最小暂停。当遇到未知签名密钥时，会立即调度刷新，但会始终等待这一最小暂停。默认值为 1 秒。

整数

jwksRefreshSeconds

配置刷新的 JWKS 证书的频率。刷新间隔必须至少缩短 60 秒，然后 jwksExpirySeconds 中指定的到期间隔必须最少。默认值为 300 秒。

整数

maxSecondsWithoutReauthentication

经过身份验证的会话保持有效的最大秒数，无需重新身份验证。这可启用 Apache Kafka 重新身份验证功能，并使会话在访问令牌过期时过期。如果访问令牌在最长时间前过期，或者达到最大时间，客户端必须重新进行身份验证，否则服务器将丢弃连接。默认情况下不设置 - 经过身份验证的会话不会在访问令牌过期时过期。这个选项只适用于 SASL_OAUTHBEARER 身份验证机制（当 enableOauthBearer 为 true时）。

整数

tlsTrustedCertificates

TLS 连接到 OAuth 服务器的可信证书。

CertSecretSource 数组

tokenEndpointUri

客户端通过 clientId 和 secret 验证时要用于 SASL_PLAIN 机制的 Token 端点 URI。如果设置，客户端可以通过 SASL_PLAIN 将 用户名 设置为 clientId，将 密码 设置为客户端 secret，或者将 用户名 设置为帐户用户名，密码 用于访问前缀为 $accessToken: 的令牌：如果未设置此选项，则 密码 始终解释为访问令牌（不含前缀），用户名为帐户 用户名 （称为"no-client-credentials"模式）。

字符串

type

必须是 oauth。

字符串

userInfoEndpointUri

当内省端点不返回可用于用户 ID 的信息时，用作回退的 User Info Endpoint 的 URI 用于获取用户 ID。

字符串

userNameClaim

来自 JWT 身份验证令牌的声明名称、内省端点响应或用户 Info Endpoint 响应，它们将用于提取用户 ID。默认值为 sub。

字符串

validIssuerUri

用于身份验证的令牌签发者的 URI。

字符串

validTokenType

Introspection Endpoint 返回的 token_type 属性的有效值。没有默认值，默认情况下不检查。

字符串