[Web] Web 相關

[Keycloak] docker 安裝

採用的映象檔是 bitnami/keycloak ，因為我需要使用網址來區分服務(同一個 port 的情況下)，所以採取反向代理的方式，一方面讓之後要部屬其他應用、加上憑證、等等操作都交給 nginx 比較方便。建立 docker 網路 mynetwork，如果設定其他名稱，以下步驟再自行調整對應。 docker create network mynetwork 建立 docker-compose 環境 keycloak/.env KEYCLOCK_IMAGE=bitnami/keycloak:23.0.3 KEYCLOAK_DATABASE_VENDOR=postgresql KEYCLOAK_DATABASE_PORT=5432 KEYCLOAK_DATABASE_USER=keycloak KEYCLOAK_DATABASE_PASSWORD=password KEYCLOAK_DATABASE_NAME=keycloak KEYCLOAK_ADMIN_USER=admin KEYCLOAK_ADMIN_PASSWORD=admin keycloak/docker-compose.yml version: '3' volumes: postgres_data: driver: local services: keycloak_db: image: postgres restart: always volumes: - postgres_data:/var/lib/postgresql/data environment: POSTGRES_DB: ${KEYCLOAK_DATABASE_NAME} POSTGRES_USER: ${KEYCLOAK_DATABASE_USER} POSTGRES_PASSWORD: ${KEYCLOAK_DATABASE_PASSWORD} networks: - mynetwork keycloak: image: ${KEYCLOCK_IMAGE} environment: KEYCLOAK_DATABASE_VENDOR: ${KEYCLOAK_DATABASE_VENDOR} KEYCLOAK_DATABASE_HOST: keycloak_db KEYCLOAK_DATABASE_PORT: ${KEYCLOAK_DATABASE_PORT} KEYCLOAK_DATABASE_NAME: ${KEYCLOAK_DATABASE_NAME} KEYCLOAK_DATABASE_USER: ${KEYCLOAK_DATABASE_USER} KEYCLOAK_DATABASE_PASSWORD: ${KEYCLOAK_DATABASE_PASSWORD} KEYCLOAK_DATABASE_SCHEMA: public KEYCLOAK_ADMIN_USER: ${KEYCLOAK_ADMIN_USER} KEYCLOAK_ADMIN_PASSWORD: ${KEYCLOAK_ADMIN_PASSWORD} KEYCLOAK_ENABLE_HEALTH_ENDPOINTS: 'true' KEYCLOAK_ENABLE_STATISTICS: 'true' KC_PROXY: edge KC_PROXY_ADDRESS_FORWARDING: 'true' KC_HTTP_ENABLED: 'true' restart: unless-stopped networks: - mynetwork depends_on: - keycloak_db networks: mynetwork: external: true 建立 nginx/nginx.

January 1, 2023 Read

[Web] API Design

Reference Best practices in cloud applications

July 11, 2022 Read

[Web] RESTful 敏感性 GET 參數

網址列參數洩漏風險目前網頁後端資源存取大多以 RESTful Api 開發， REST 標準下 API 的設計需符合冪等性(idempotent)， SSL 連線連接 TCP 層與 HTTP 層，因此透過 HTTPS 傳輸的網頁，網址進入 TCP 層之後是被加密的，即使封包被截取也只能看見要傳送的目標主機那麼敏感性資料可以透過 GET 參數傳送嗎？如果將機敏性資料夾帶於網址列當中會有洩漏的安全性風險，諸如：被 Shoulder surfers 竊取。(你的螢幕被偷看) 隨著頁面列印被印出。使用者將連結加入書籤。儲存在瀏覽器瀏覽歷史紀錄。被記錄在 Web Server 的 Log，而 Log 本身可能不安全。隱藏 RESTful GET 參數因此避免這些資料外洩的可能，根本的做法就是讓機敏性資料從網址列消失，最好的做法是依據 OWASP 的建議把參數夾帶在 Header 裡面，其他手段整理：將機敏性資料加密，但加密也會破壞 API RESTful 特性，在後端需要先解密無法直接對應回物件。以 POST 的一部份傳輸(透過 HTTPS)，但會直接破壞 API 的 RESTful 特性。根據 OWASP REST Security Cheat Sheet，應該把敏感性參數夾帶在 GET 請求的 HTTP Header 裡面透過 HTTPS 傳輸。 P.

July 11, 2022 Read

[Web] 把電腦的難字造字檔用 FontForge 轉為字型放到網頁上使用

Web 在顯示姓名的時候常會遇到中文難字無法顯示，此時開發者在本機端如果有安裝造字檔 EUDC.TTE 就可以轉為 woff、woff2、ttf 讓網頁正確顯示難字。過程需要字型工具軟體 FontForge，步驟如下：拿到造字檔 EUDC.TTE 用 cmd 打開 regedit (win10 搜尋圖示點下後，輸入 cmd，出現小黑窗後再輸入 regedit) 找到機碼 HKEY_CURRENT_USER -> EUDC -> 950 資料夾下的 SystemDefaultEUDCFont 設定檔。從設定檔的值就是 EUDC 的存放位址取出 EUDC.tte，我這裡是 C:\CIBEN\EUDC.tte 安裝 FontForge，找到 fontforge.exe 的位址 (注意，跟桌面捷徑呼叫的執行檔不一樣！)，我的是在 C:/Program Files (x86)/FontForgeBuilds/bin/fontforge.exe 建立一個轉檔腳本 tte-extract.pe，內容如下 # Open EUDC TTE Open("EUDC.tte", 4) # CHANGE TTFNAME 2 EUDC SetTTFName(0x409,1,"EUDC") SetTTFName(0x409,2,"EUDC") SetTTFName(0x409,3,"EUDC") SetTTFName(0x409,4,"EUDC") SetTTFName(0x404,1,"EUDC") SetTTFName(0x404,2,"EUDC") SetTTFName(0x409,3,"") SetTTFName(0x404,4,"EUDC") SetFontNames("EUDC", "EUDC", "EUDC", "Regular", "655", "1.0.0") Generate("EUDC.ttf") Generate("EUDC.

August 24, 2021 Read