首先明确回答：是的，Kafka REST在消费消息时，消费者组的ACL是会被Broker校验的。你遇到的问题核心在于Kafka REST没有正确通过SASL认证与Broker建立连接，导致Broker将其识别为ANONYMOUS身份，自然不会用你期望的用户去校验ACL规则。

你的配置缺失点 #

从你给出的配置来看，你只指定了安全协议和SASL机制，但缺少了SASL PLAIN认证必需的JAAS配置——这是客户端向Broker提供身份凭证的关键参数。没有它，Kafka REST无法向Broker证明自己的身份，只能以匿名身份连接，也就出现了你看到的ANONYMOUS读取的情况。

修正后的配置示例 #

你需要在配置中添加client.sasl.jaas.config参数，补充合法的用户名和密码信息：

zookeeper.connect=localhost:2181
bootstrap.servers=SASL_PLAINTEXT://localhost:9093
client.security.protocol=SASL_PLAINTEXT
client.sasl.mechanism=PLAIN
client.sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="your-valid-username" password="your-password";

额外的关键检查项 #

• Broker端配置确认：确保你的Kafka Broker已经正确启用了SASL PLAIN认证，并且已经为你指定的用户名配置了对应的消费者组ACL权限（需要针对Group资源类型配置Read和Describe权限，具体取决于你的消费场景）。
• 日志排查：查看Kafka REST的运行日志，检查是否存在认证失败的报错信息，比如Failed to authenticate with broker这类提示，能帮你快速定位配置问题。
• 消费者组权限匹配：确认你配置的用户名拥有目标消费者组的合法权限，否则即使认证成功，也会因为ACL校验失败无法消费。

内容的提问来源于stack exchange，提问作者Haiyan GU