Category: How To
Nginx Plus Docker Image + lua-resty-openidc for OAuth termination
I need a Docker image with Nginx Plus and configured lua-resty-openidc to use Keycloak OAuth provider.
I made it based on this article Deploying NGINX and NGINX Plus with Docker but there was few additional non trivial steps so here is my result.
Create a folder with nginx plus repo keys (nginx-repo.crt and nginx-repo.key)
Then create a Dockerfile with the following content:
FROM ubuntu:artful # Download certificate and key from the customer portal (https://cs.nginx.com) # and copy to the build context COPY nginx-repo.crt /etc/ssl/nginx/ COPY nginx-repo.key /etc/ssl/nginx/ # Install NGINX Plus RUN set -x \ && apt-get update && apt-get upgrade -y \ && apt-get install --no-install-recommends --no-install-suggests -y apt-transport-https ca-certificates \ && apt-get install -y lsb-release wget \ && wget http://nginx.org/keys/nginx_signing.key && apt-key add nginx_signing.key \ && wget -q -O /etc/apt/apt.conf.d/90nginx https://cs.nginx.com/static/files/90nginx \ && printf "deb https://plus-pkgs.nginx.com/ubuntu `lsb_release -cs` nginx-plus\n" | tee /etc/apt/sources.list.d/nginx-plus.list \ && apt-get update && apt-get install -y nginx-plus nginx-plus-module-lua nginx-plus-module-ndk luarocks libssl1.0-dev git RUN set -x \ && apt-get remove --purge --auto-remove -y \ && rm -rf /var/lib/apt/lists/* # Forward request logs to Docker log collector RUN ln -sf /dev/stdout /var/log/nginx/access.log \ && ln -sf /dev/stderr /var/log/nginx/error.log RUN luarocks install lua-resty-openidc RUN luarocks install lua-cjson RUN luarocks install lua-resty-string RUN luarocks install lua-resty-http RUN luarocks install lua-resty-session RUN luarocks install lua-resty-jwt EXPOSE 80 STOPSIGNAL SIGTERM CMD ["nginx", "-g", "daemon off;"]
Here you can see that we installing not only nginx-plus but also nginx-plus-module-lua and nginx-plus-module-ndk modules which are needed to run lua-resty-openidc.
Since open lua-resty-openidc is distributed via luarocks package manager we need to install it too and then install all needed packages via luarocks. For lua-crypto dependency you need to install libssl1.0-dev package with OpenSSL headers and for some other package we needed git, don't ask me why, I have no idea.
FYI: openidc is installed into file /usr/local/share/lua/5.1/resty/openidc.lua
Then you need to build an image with
docker build --no-cache -t nginxplus .
If you have a Docker Registry inside your company you can publish the image there:
docker tag nginxplus your.docker.registry:5000/nginxplus
docker push your.docker.registry:5000/nginxplus
Not you have an image and you can run it. All you need is to mount you server config into /etc/nginx folder. Consider you have a docker-compose.yml file with the following content:
version: '3'
services:
gw-nginx:
image: your.docker.registry:5000/nginxplus
container_name: gw-nginx
volumes:
- ~/gateway/etc/nginx/nginx.conf:/etc/nginx/nginx.conf
- ~/gateway/etc/nginx/conf.d/:/etc/nginx/conf.d/
- /etc/localtime:/etc/localtime
ports:
- 80:80
gw-keycloak:
image: jboss/keycloak
container_name: gw-keycloak
volumes:
- /etc/localtime:/etc/localtime
ports:
- 8080:8080
environment:
- KEYCLOAK_USER=root
- KEYCLOAK_PASSWORD=changeMePlease
- PROXY_ADDRESS_FORWARDING=true
Now create a gateway folder:
mkdir ~/gateway
cd ~/gateway
And plase nginx.conf file into ~/gateway/etc/nginx/nginx.conf. The most important is to place this two lines:
...
http {
resolver yourdnsip;
lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
lua_ssl_verify_depth 5;
...
}
For some reason without this lines Lua scripts can’t resolve upstreams.
Create ~/gateway/etc/nginx/conf.d/default.conf file and configure it as descibed in restly-openidc documentation.
Finally you can run it with docker-compose up -d command.
Transliteration to ASCII
If you need to make a translitartion from any language to ASCII symbols you can use a Transliterator from ICU4J.
private static final String TRANSLITERATION_RULE = "Any-Latin; Latin-ASCII";
private static String transliterate(String name) {
String ascii = TRANSLITERATOR.transliterate(name);
// Some Russian names may contain Soft Sign ( Ь ) and ( Ъ ) that may cause error http://sourceforge.net/p/icu/mailman/message/34413588/
ascii = ascii.replaceAll("[ʹʺ]", "");
return ascii;
}
ICU Transform Demonstration
1) Select «Names» from «Inset sample» combo box.
2) Insert the rule «Any-Latin; Latin-ASCII» to the «Compound 1» fields.
3) Press «Transform» button
Also a good example:
How do I convert Chinese characters to their Latin equivalents?
[Чтиво] Три очень классные практические статьи-инструкции для программистов
Периодически почитываю что накопилось в закладках. Вот отличные прагматичные статьи вкурив которые сразу получите +2 к экспе девелопера.
Экстремальное программирование: Pair Programming чёткая инструкция по делу что такое парное программирование как его делать на практике и самое главное как его НЕ делать.
Парное программирование в аутсорсинге: достижение взаимопонимания с техническими специалистами заказчика Классная статья которую обязан прочесть каждый программист-аутсорсер. Вывод: если у вас есть часть удалённой команды то парно педалить код вы просто обязаны.
Практика рефакторинга в больших проектах в сотый раз о вечном. Для тех кто ещё халтурит и не прочёл замечательную книгу Working Effectively with Legacy Code
[Grails] Избегайте использования Environment вне файлов конфигураций
Внутри Grails есть великолепный механизм для условного выполнения кода в зависимости от текущей среды (Environment).
Например внутри DataSource.groovy можно указывать различные настройки базы данных:
// environment specific settings
environments {
development {
dataSource {
dbCreate = "create-drop"
url = "jdbc:h2:mem:devDb;MVCC=TRUE;LOCK_TIMEOUT=10000"
}
}
production {
dataSource {
dbCreate = "update"
url = "jdbc:h2:prodDb;MVCC=TRUE;LOCK_TIMEOUT=10000"
}
}
}
Наверняка у вас почти в каждом файле конфигурации есть настройки под среду.
Но очень часто я натыкался на то что класс Environment.current начинает использоваться внутри контроллеров, вьюх и сервисов. А стандартный тег if и вовсе имеет атрибут для проверки текущего окружения:
<g:if env="test"> ... </g:if>
Я постепенно пришёл к тому что этого следует избегать, потому что теряется читаемость и гибкость. Вместо этого лучше явно создать опцию в Config.groovy, включать или выключать её в зависимости от среды а и потом проверять её. Вот например что делает этот код?
<g:if env="test">
<meta name="controller" content="${controllerName}"/>
<meta name="action" content="${actionName}"/>
</g:if>
На самом деле этот код добавляет имя контроллера и экшена которые отрисовли страницу и они потом проверяются функциональным тестом. Это это бывает очень удобно для дебага.
А теперь давайте мы создадим в файле Config.groovy опцию
environments {
development {
com.example.showActionNameInPageMeta = true
}
test {
com.example.showActionNameInPageMeta = true
}
production {
com.example.showActionNameInPageMeta = false
}
}
и теперь
<g:if test="${grailsApplication.config.com.example.showActionNameInPageMeta}">
<meta name="controller" content="${controllerName}"/>
<meta name="action" content="${actionName}"/>
</g:if>
В результате эта опция улучшила читаемость кода. Кроме того теперь мы всегда можем добавить новое окружение, например testFunctional для функциональных тестов и внутри включить нашу опцию, при этом не переписывая код.
И что особенно важно, что в случае каких то проблем в продакшене сисадмин может поменять конфигурацию и перезапустить сервер не перекомпилируя приложение.
Кроме того, все такие опции теперь не размазаны по коду а лежат в одном месте где их все можно посмотреть.
В более широком смысле такой подход называется Feature flag, и его активно используют например в Amazon.
[Grails] favicon.ico и robots.txt
Есть две важные мелочи на которые обычно внимания не обращаем, но потом приходится всё таки с ними повозится.
Где должна быть иконка для закладки?
Например favicon.ico — очень важная маленькая вещь. Иконка значительно увеличивает узнаваемость закладки.
По умолчанию в main layout который генерирует Grails есть прописанный путь к favicon:
<html>
<head>
...
<link rel="shortcut icon" href="${resource(dir: 'images', file: 'favicon.ico')}" type="image/x-icon">
...
</head>
Броузер должен понять что фавикон лежит по URL /static/images/favicon.ico
Оказалось что броузеры не любят когда фавикон находится не в корне сайта, т.е. не /favicon.ico. Например если сайт загружен через фрейм или просто открывается картинка с сайта то некоторые броузеры пытаются запросить фавикон с корня сайта.
А если файл не найден, или у пользователя например нет прав на просмотра этого адреса, то в серверных логах будет появляться отчёты об ошибках.
Как решать?
Первое что приходит на ум это прописать в UrlMappings перенаправление на правильный путь к иконке. Но конечно же не стоит этого делать, ведь мы помним что всё что лежит в папке web-app становится доступным по прямо ссылке.
Так что нам достаточно просто перенести фавикон в директорию уровнем выше:
mv grails-app/web-app/images/favicon.ico grails-app/web-app/favicon.ico
И ещё подправить наш лейаут grails-app/views/layouts/main.gsp
<html>
<head>
...
<link rel="shortcut icon" href="/favicon.ico" type="image/x-icon">
...
</head>
Теперь фавкион доступен прямо из корня сайта /favicon.ico.
На форумах пишут что на мобильные устройства ещё запрашивают свои иконки в другом разрешении, но у меня сейчас по рукой их нет чтобы проверить.
Защищаемся от поисковика
Наверное многие помнят историю когда все SMS отправленные с сайта Билайна стали доступны через поисковик яндекса. Это произошло по стечению обстоятельств, одним из которых было то что разработчики не запретили поисковикам индексировать страницы отправки СМС.
Чтобы себя уберечь вам следует тоже запретить поисковикам индексировтаь админку вашего сайта или другие приватные разделы.
Для этого в корень вашего сайта вы должны разметсить файл robots.txt с примерно таким содержимым:
User-agent: * Disallow: / Allow: /faq/
Поисковики когда будут индексировать ваш сайт будут соблюдать эти правила и не будут индексировать весь ваш сайт кроме страницы /faq/
Как не сложно догадаться файл robots.txt тоже нужно положить в web-app чтобы он стал доступен по прямой ссылке.
Если вам уже не достаточно простых настроек robots.txt то вам стоит обратить внимание на его XML развитие Sitemaps.
Для Grails даже есть плагин grails-sitemapper, но он выглядит заброшенным так что десять раз перепроверьте его содержимое.
По хорошему эти две вещи нужно сделать частью стандартного Grails. Как нибудь создам тикет в трекере на эту тему.
[Grails] i18n: LocaleResolver, Accept-Language
Warning!!! I made plugin grails-locale-configuration-plugin that replace this solution. [Grails] Сегодня опубликовал стабильную версию grails-locale-configuration-plugin
Also this chapter of book may be interest for you
В каждом броузере пользователь может настроить предпочтительные языки. Например в хроме Settings / Languages (chrome://settings/languages) они выглядят так:
Тут указано что пользователь хочет видеть американский английский, или любой английский, но если его не будет тогда на русском, а если и на русском не будет, тогда давайте уже на украинском.
Эти параметры передаются в каждом запросе на сервер через заголовок Accept-Language:
Accept-Language:en-US,en;q=0.8,ru;q=0.6,uk;q=0.4С помощью параметра
q(quality value) мы передаём приоритет от 0 до 1.Grails умеет работать с этим заголовком и автоматически переключать локаль. Если есть интернационализация для этого языка то она сразу же автоматически показывается и всё хорошо. А вот если не находится i18n/messages_xx.properties для нужной локали, тогда отображается текст по умолчанию из i18n/messages.properties, обычно английский.
Хоть текст и будет английский, но системная локаль будет установлена в ту которую пользователь запросил больше всего.
Например, у нас есть пользователь у которого украинский язык на первом месте и русский на втором.
Запросив страницу Grails запомнит украинскую локаль в сессии, но отобразит всё на английском.
Это не всегда хорошо, особенно если ваш сайт жёстко поддерживает только несколько локалей. Например в зависимости от локали вы разные флажки отображаете.
Скорее всего что захотите ограничить локали которые поддерживаете.
Для этого создайте в файле Config.groovy опцию supportedLocales:supportedLocales = [Locale.ENGLISH, new Locale('RU')]А теперь создадим фильтр который будет проверять локаль
class LocaleResolverFilterFilters { def filters = { all(controller: '*', action: '*') { before = { // Сначала ищем такую же локаль, если не нашли то локаль с тем же языком, если не нашли то по умолчанию английский Locale selectedLocale LocaleResolver localeResolver = RequestContextUtils.getLocaleResolver(request) List&amp;amp;lt;Locale&amp;amp;gt; supportedLocales = grailsApplication.config.supportedLocales if (request.locale in supportedLocales) { selectedLocale = request.locale } else { selectedLocale = findLocaleWithSameLanguage(request, supportedLocales) } selectedLocale = selectedLocale ?: Locale.ENGLISH localeResolver.setLocale(request, response, selectedLocale) } } } private Locale findLocaleWithSameLanguage(HttpServletRequest request, List&amp;amp;lt;Locale&amp;amp;gt; supportedLocales) { supportedLocales.find({ it.language == request.locale.language }) } }В дальнейшем из кода получить локаль мы можем через объект запроса
request.localeа список всех локалей предпочитаемых пользователем черезrequest.locales.
Ту локаль с которой мы отрисовали страницу можно увидеть через объект ответа:response.locale.
Смотрите демо приложение на гитхабе.
Что ещё почитать по теме:
stokito on software 