Spring Boot 基于 SCRAM 认证集成 Kafka 的详解

一、说明

在现代微服务架构中，kafka 作为消息中间件被广泛使用，而安全性则是其中的一个关键因素。在本篇文章中，我们将探讨如何在 spring boot 应用中集成 kafka 并使用 scram 认证机制进行安全连接；并实现动态创建账号、acl 权限、topic，以及生产者和消费者等操作。

二、添加依赖

在 spring boot 项目的 pom.xml 中添加 spring-kafka 依赖

<dependency>
    <groupid>org.springframework.kafka</groupid>
    <artifactid>spring-kafka</artifactid>
</dependency>

三、配置 kafka

在 application.yml 中配置 kafka 的相关属性，包括服务器地址、认证信息等。

spring:  
  kafka:  
    bootstrap-servers: localhost:9092  
    properties:  
      security.protocol: sasl_plaintext  
      sasl.mechanism: scram-sha-256 
      sasl.jaas.config: org.apache.kafka.common.security.scram.scramloginmodule required username="your_username" password="your_password";
    consumer:
      group-id: test-consumer-group
      auto-offset-reset: earliest
      properties:
        sasl.jaas.config: org.apache.kafka.common.security.scram.scramloginmodule required username="test" password="test";
    producer:
      key-serializer: org.apache.kafka.common.serialization.stringserializer
      value-serializer: org.apache.kafka.common.serialization.stringserializer

• bootstrap-servers kafka 的集群地址
• security.protocol 通讯协议指定启用sasl
• sasl.mechanism 指定 sasl 使用的具体身份验证机制
• sasl.jaas.config 指定认证模块的处理类以及 用户名 和 密码
• auto-offset-reset 指定偏移量的逻辑，earliest 代表新加入的消费者都是从头开始消费

四、动态管理资源

4.1. 创建 kafkaadminclient

kafkaadminclient 用于管理 kafka 资源（用户、acl、主题等）。以下是示例代码：

@configuration
public class kafkaconfig {
    @bean
    public kafkaadminclient kafkaadminclient(kafkaadmin kafkaadmin) {
        return (kafkaadminclient) kafkaadminclient.create(kafkaadmin.getconfigurationproperties());
    }
}

4.2. 动态创建用户和设置权限

使用 kafka adminclient api 实现动态创建用户和设置 acl 权限：

/**
 * 创建用户
 */
public void createuser(string username, string password) throws executionexception, interruptedexception {
    // 构造scram认证机制信息
    scramcredentialinfo info = new scramcredentialinfo(scrammechanism.scram_sha_256, 8192);
    //用户信息
    userscramcredentialalteration userscramcredentialadd = new userscramcredentialupsertion(username, info, password);
    alteruserscramcredentialsresult result = kafkaadminclient.alteruserscramcredentials(list.of(userscramcredentialadd));
    result.all().get();
}

/**
 * 配置用户只读权限
 */
public void createacl(string account, string topicname, string consumergroup) {
    aclbinding aclbindingtopic = genaclbinding(account, resourcetype.topic, topicname, acloperation.read);
    aclbinding aclbindinggroup = genaclbinding(account, resourcetype.group, consumergroup, acloperation.read);
    kafkaadminclient.createacls(list.of(aclbindingtopic, aclbindinggroup));
}

4.3. 动态创建主题

public void createtopic(string topicname, int partitions, short replicationfactor) throws executionexception, interruptedexception {
    newtopic newtopic = new newtopic(topicname, partitions, replicationfactor);
    createtopicsresult result = kafkaadminclient.createtopics(list.of(newtopic));
    result.all().get();
}

五、生产者和消费者配置

5.1. 生产者配置

配置 kafka 生产者，用于发送消息：

@service
public class kafkaproducer {
    private final kafkatemplate<string, string> kafkatemplate;

    public kafkaproducer(kafkatemplate<string, string> kafkatemplate) {
        this.kafkatemplate = kafkatemplate;
    }

    public void sendmessage(string message) {
        kafkatemplate.send("test", message);
    }
}

5.2. 消费者配置

使用 @kafkalistener 注解实现消费消息方法：

@service
public class kafkaconsumer {
    @kafkalistener(topics = "test", groupid = "test-consumer-group")
    public void consume(string message) {
        system.out.println("received message: " + message);
    }
}

六、总结

通过以上步骤，我们成功地在 spring boot 应用中集成了 kafka，并使用 scram 认证机制进行安全连接；确保在生产环境中妥善管理用户凭证，并根据需要调整 kafka 的安全配置。