NiFi REST API 单用户认证接入完整指南

本文详解如何在 nifi 启用单用户认证（single-user-authentication）时，通过 rest api 获取访问令牌并完成 java/python 等客户端的合法调用，避免“basic auth not configured”或“oauth not available”等常见错误。

Apache NiFi 1.20.0 及以上版本在启用 single-user-authentication（即配置 nifi.security.user.login.identity.provider=single-user-provider 和 nifi.security.user.authorizer=single-user-authorizer）时，不启用 Basic Auth 或 OAuth 流程，而是采用基于表单的令牌式认证（Token-based Authentication）。这意味着你不能直接使用 .setUsername()/.setPassword() 或 .setAccessToken() 初始化客户端——这些方法底层依赖未启用的认证机制，会触发明确的拒绝提示。

正确流程分为两步：

1. 向 /nifi-api/access/token 发起 POST 请求，获取短期有效的 JWT 访问令牌；
2. 将该令牌作为 Bearer 类型 Authorization 头，附加到后续所有受保护 API 请求中。

✅ 示例（cURL）：

curl --location --request POST 'https://nifi.example.com/nifi-api/access/token' \
  --header 'Content-Type: application/x-www-form-urlencoded' \
  --data-urlencode 'username=admin' \
  --data-urlencode 'password=secret123'

成功响应为纯文本格式的 JWT 字符串（如 eyJhbGciOiJIUzI1NiJ9...），无 JSON 封装。

讯飞星火

科大讯飞推出的多功能AI智能助手

下载

✅ Python 客户端示例（requests）：

import requests

base_url = "https://nifi.example.com"
auth_url = f"{base_url}/nifi-api/access/token"

# Step 1: 获取 access token
response = requests.post(
    auth_url,
    data={"username": "admin", "password": "secret123"},
    headers={"Content-Type": "application/x-www-form-urlencoded"},
    verify=False  # 注意：生产环境应配置有效证书或 TrustManager
)

response.raise_for_status()
token = response.text.strip()  # 注意：响应体是纯文本，非 JSON！

# Step 2: 使用 token 调用受保护 API（例如获取当前用户）
api_client = requests.Session()
api_client.headers.update({
    "Authorization": f"Bearer {token}",
    "Content-Type": "application/json"
})

user_resp = api_client.get(f"{base_url}/nifi-api/flow/current-user")
print(user_resp.json())

✅ Java（Swagger Codegen 生成的 ApiClient）适配方案： 由于默认 ApiClient 不支持动态注入 Bearer Token，需手动设置 header：

ApiClient client = Configuration.getDefaultApiClient()
    .setBasePath("https://nifi.example.com/nifi-api")
    .setVerifyingSsl(false);

// Step 1: 先用 OkHttp / HttpClient 手动获取 token（推荐 OkHttp）
OkHttpClient okHttpClient = new OkHttpClient();
RequestBody formBody = new FormBody.Builder()
    .add("username", "admin")
    .add("password", "secret123")
    .build();

Request tokenReq = new Request.Builder()
    .url("https://nifi.example.com/nifi-api/access/token")
    .post(formBody)
    .build();

try (Response tokenResp = okHttpClient.newCall(tokenReq).execute()) {
    String token = tokenResp.body().string().trim();

    // Step 2: 为所有后续请求注入 Authorization header
    client.addDefaultHeader("Authorization", "Bearer " + token);

    // 此后所有通过 client 发起的请求（如 ProcessGroupsApi）均自动携带 token
    ProcessGroupsApi pgApi = new ProcessGroupsApi(client);
    // ... 调用任意 API
}

⚠️ 注意事项：

• 令牌有效期默认为 12 小时（由 nifi.security.user.jwt.expiration 控制），超时后需重新获取；建议封装 token 刷新逻辑；
• 务必禁用 SSL 验证仅用于测试：生产环境必须配置 TrustManager 或导入 NiFi 的 TLS 证书；
• 不要硬编码凭证：应通过环境变量、密钥管理服务或配置中心注入用户名/密码；
• 单用户模式下无权限粒度控制：所有 API 调用均以该唯一用户身份执行，适用于开发/测试场景，不可用于多租户生产环境。

掌握此令牌获取与注入模式，即可安全、稳定地集成 NiFi REST API 到任何语言生态中。