1. 为什么你的Kafka需要SASL/PLAIN认证最近帮朋友排查一个Kafka数据泄露问题发现他们测试环境的Kafka集群居然裸奔在公网上没有任何认证措施。这就像把自家大门钥匙插在门锁上谁都能随便进出。今天我们就来聊聊如何用SASL/PLAIN给Kafka装上最基础的门锁。先说说我遇到的实际案例。某电商公司的风控数据通过Kafka传输由于开发同学图省事直接用了PLAINTEXT协议结果被外部扫描工具发现了开放端口导致用户手机号等敏感信息泄露。其实只需要花20分钟配置SASL/PLAIN认证就能避免这种低级错误。SASL/PLAIN是Kafka支持的最简单认证方式相当于给客户端连接设置了账号密码门槛。虽然不如SSL证书或Kerberos安全但对于内网环境或需要快速上线的场景完全够用。它的核心优势在于配置简单只需修改两个配置文件零学习成本就是最基础的账号密码验证兼容性强所有Kafka客户端工具都支持2. 环境准备与基础概念2.1 实验环境规划我建议用Docker快速搭建测试环境避免污染本地系统。这里给出我的标准测试配置# 单节点Kafka容器 docker run -d --name kafka \ -p 9092:9092 -p 19092:19092 \ -e KAFKA_CFG_LISTENERSPLAINTEXT://:9092,SASL_PLAINTEXT://:19092 \ bitnami/kafka:3.6.1关键端口说明9092内部通信端口无需认证19092外部访问端口需认证9093Controller通信端口集群模式需要2.2 必须理解的三个核心配置第一次配SASL时我被这几个概念绕晕过listeners定义Kafka监听哪些端口advertised.listeners告诉客户端应该连接哪个地址security.protocol指定使用哪种安全协议举个生活化的例子listeners就像酒店前台电话advertised.listeners是给客人看的宣传册上的电话而security.protocol决定了客人需要报暗号才能订房。3. 服务端配置步步详解3.1 创建JAAS认证文件在config目录新建kafka-server-jaas.confKafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required user_adminAdmin123 user_readerReadOnly456; };这里我设置了两个账号admin超级管理员reader只读账号重要安全提示密码不要用简单数字生产环境建议定期轮换密码不同角色分配不同账号3.2 修改server.properties关键配置修改点# 启用PLAIN机制 sasl.enabled.mechanismsPLAIN # 监听器配置 listenersPLAINTEXT://:9092,SASL_PLAINTEXT://:19092 advertised.listenersPLAINTEXT://localhost:9092,SASL_PLAINTEXT://localhost:19092 # 强制外部连接走认证 security.inter.broker.protocolPLAINTEXT遇到过的一个坑如果advertised.listeners配置成内网IP外网客户端会连不上。建议先用localhost测试。3.3 启动服务的正确姿势用这个命令启动才能加载认证配置export KAFKA_OPTS-Djava.security.auth.login.config/path/to/kafka-server-jaas.conf bin/kafka-server-start.sh config/server.properties如果看到日志输出Successfully logged in就说明认证模块加载成功了。4. 客户端连接全方式实测4.1 命令行工具认证测试创建client.conf配置文件security.protocolSASL_PLAINTEXT sasl.mechanismPLAIN sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required usernameadmin passwordAdmin123;测试命令示例# 创建topic bin/kafka-topics.sh --create \ --topic test-secure \ --bootstrap-server localhost:19092 \ --command-config client.conf # 生产消息 bin/kafka-console-producer.sh \ --bootstrap-server localhost:19092 \ --topic test-secure \ --producer.config client.conf4.2 Java客户端连接示例给Java程序添加认证的代码片段Properties props new Properties(); props.put(bootstrap.servers, localhost:19092); props.put(security.protocol, SASL_PLAINTEXT); props.put(sasl.mechanism, PLAIN); props.put(sasl.jaas.config, org.apache.kafka.common.security.plain.PlainLoginModule required username\admin\ password\Admin123\;); // 创建生产者 KafkaProducerString, String producer new KafkaProducer(props);4.3 常见连接问题排查遇到认证失败时按这个顺序检查确认服务端JAAS文件路径正确检查端口是否被防火墙拦截对比客户端和服务端的账号密码查看Kafka日志中的认证错误详情5. 生产环境进阶建议虽然SASL/PLAIN配置简单但在实际生产环境中还需要注意密码管理考虑使用配置中心动态加载避免硬编码权限控制配合ACL实现细粒度权限管理监控告警对认证失败尝试进行监控协议升级敏感业务建议升级到SASL_SSL有次线上事故就是因为开发把测试环境的账号密码写死在代码里结果测试账号被误用到生产环境。后来我们改用动态凭证才解决这个问题。6. 与其他认证方式的对比当需要更高安全级别时可以考虑这些方案认证方式安全性配置复杂度适用场景SASL/PLAIN★★☆★☆☆内网/测试环境SASL/SCRAM★★★★★☆生产环境SASL/Kerberos★★★★★★★★企业级安全要求SSL双向认证★★★★★★★☆金融级安全要求最近在金融项目上我们就升级到了SCRAM-SHA-512配合SSL加密传输安全性提升了好几个等级。不过对于大部分业务场景SASL/PLAIN已经能挡住99%的意外访问了。