<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>We're looking to use Keycloak in an enterprise environment that reinforces tight web restrictions. There are network guys combing over every url, and dev ops guys doing other things with urls, and software developers integrating Keycloak.&nbsp;</p>
<p>Customized theming is a big selling point because business people can change up the look without worrying about most web attacks. But operations people dislike tying urls to your release cycle, especially when there are hot fixes.</p>
Your Freemaker template is a little strange too because it rewrites&nbsp;resource links&nbsp;as absolute urls, and make it behave strange behind reverse proxies.
<div><br>
</div>
<div>I understand your reasons&nbsp;for defaults, but allowing another&nbsp;flag for prefixing custom theme web&nbsp;resources&nbsp;would integrate more&nbsp;easily with other environments.</div>
<div><br>
</div>
<div>--Doug<br>
<br>
<div style="color: rgb(0, 0, 0);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Stian Thorgersen &lt;sthorger@redhat.com&gt;<br>
<b>Sent:</b> Tuesday, December 1, 2015 20:27<br>
<b>To:</b> Doug Szeto<br>
<b>Cc:</b> Bill Burke; keycloak-user@lists.jboss.org<br>
<b>Subject:</b> Re: [keycloak-user] Theme Resources Urls</font>
<div>&nbsp;</div>
</div>
<div>
<div dir="ltr">Query param is an alternative practice. There's pros and cons with both approaches.
<div><br>
</div>
<div>The idea of customized themes is so you can customize the themes. To change the look and feel, add a logo, add an extra field to the forms, etc..</div>
<div><br>
</div>
<div>Can you elaborate on exactly why you need to change the URL?</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On 1 December 2015 at 13:21, Doug Szeto <span dir="ltr">
&lt;<a href="mailto:DSzeto@investlab.com" target="_blank">DSzeto@investlab.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex; border-left:1px #ccc solid; padding-left:1ex">
If you want to bust the cache on a version update, a better practice is to stick the version id as a query parameter at the end of resources, see:<br>
<a href="https://css-tricks.com/strategies-for-cache-busting-css/" rel="noreferrer" target="_blank">https://css-tricks.com/strategies-for-cache-busting-css/</a><br>
<br>
ie <a href="http://localhost:8080/auth/resources/themes/login/keycloak/css/login.css?v=1.6.1.final" rel="noreferrer" target="_blank">
http://localhost:8080/auth/resources/themes/login/keycloak/css/login.css?v=1.6.1.final</a><br>
<br>
I thought the point of customized themes were to allow developers better control over the web resources being served without modifying the security source code. But if we can't control the url of our content, it limits our options on web optimization strategies.<br>
<br>
I guess overriding the freemaker template is the only way to go.<br>
<br>
--Doug<br>
<br>
________________________________________<br>
From: <a href="mailto:keycloak-user-bounces@lists.jboss.org">keycloak-user-bounces@lists.jboss.org</a> &lt;<a href="mailto:keycloak-user-bounces@lists.jboss.org">keycloak-user-bounces@lists.jboss.org</a>&gt; on behalf of Bill Burke &lt;<a href="mailto:bburke@redhat.com">bburke@redhat.com</a>&gt;<br>
Sent: Monday, November 30, 2015 23:07<br>
To: <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
Subject: Re: [keycloak-user] Theme Resources Urls<br>
<div class="HOEnZb">
<div class="h5"><br>
Browser caching is turned on for themed resources (admin console,<br>
login, etc.)&nbsp; This is obviously for performance reasons.<br>
<br>
IN the past we received a HUGE amount of false bug reports of &quot;Admin<br>
console doesn't work&quot;, &quot;my theme changes aren't showing&quot;, etc. after<br>
upgrading Keycloak.&nbsp; All because people didn't clear their browser<br>
caches.&nbsp; Hence, the version id.<br>
<br>
You should not be externally linking to themed endpoints.&nbsp; You can use a<br>
different URL to ping the server for &quot;is alive&quot; i.e.<br>
/&lt;root&gt;/realms/{realm-name}<br>
<br>
<br>
On 11/30/2015 9:56 AM, Doug Szeto wrote:<br>
&gt; What do you mean by 'You can't customize the url format'?<br>
&gt;<br>
&gt; Is there a design decision reason why it is more secure to have your<br>
&gt; keycloak version exposed in the middle of your theme resource urls?<br>
&gt;<br>
&gt; Or would it be easier if you had a pull request?<br>
&gt;<br>
&gt; --Doug<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; ------------------------------------------------------------------------<br>
&gt; *From:* Stian Thorgersen &lt;<a href="mailto:sthorger@redhat.com">sthorger@redhat.com</a>&gt;<br>
&gt; *Sent:* Monday, November 30, 2015 15:35<br>
&gt; *To:* Doug Szeto<br>
&gt; *Cc:* <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt; *Subject:* Re: [keycloak-user] Theme Resources Urls<br>
&gt; You can't customize the url format. Not sure how it would help during<br>
&gt; upgrades? I'd say the opposite as you end up with cached versions for<br>
&gt; the old release not being updated.<br>
&gt;<br>
&gt; On 28 November 2015 at 03:54, Doug Szeto &lt;<a href="mailto:DSzeto@investlab.com">DSzeto@investlab.com</a><br>
&gt; &lt;mailto:<a href="mailto:DSzeto@investlab.com">DSzeto@investlab.com</a>&gt;&gt; wrote:<br>
&gt;<br>
&gt;<br>
&gt;&nbsp; &nbsp; &nbsp;Hi,<br>
&gt;&nbsp; &nbsp; &nbsp;I have created a custom theme as specific in your docs here:<br>
&gt;&nbsp; &nbsp; &nbsp;<a href="http://keycloak.github.io/docs/userguide/keycloak-server/html/themes.html" rel="noreferrer" target="_blank">http://keycloak.github.io/docs/userguide/keycloak-server/html/themes.html</a><br>
&gt;&nbsp; &nbsp; &nbsp;It functions in the browser, in that these configs tell you where<br>
&gt;&nbsp; &nbsp; &nbsp;the theme customization resources are stored locally, but the end<br>
&gt;&nbsp; &nbsp; &nbsp;result is the resources are served from the url format pattern of:<br>
&gt;<br>
&gt;&nbsp; &nbsp; &nbsp;<a href="http://localhost:8080/auth/resources/1.6.1.final/login/keycloak/css/login.css" rel="noreferrer" target="_blank">http://localhost:8080/auth/resources/1.6.1.final/login/keycloak/css/login.css</a><br>
&gt;<br>
&gt;&nbsp; &nbsp; &nbsp;Is there a way to customize the theme url format to scrub the<br>
&gt;&nbsp; &nbsp; &nbsp;version number off the css/image/js resources? This will help out in<br>
&gt;&nbsp; &nbsp; &nbsp;monitoring and upgrades.<br>
&gt;<br>
&gt;&nbsp; &nbsp; &nbsp;Thanks,<br>
&gt;&nbsp; &nbsp; &nbsp;--Doug<br>
&gt;&nbsp; &nbsp; &nbsp;_______________________________________________<br>
&gt;&nbsp; &nbsp; &nbsp;keycloak-user mailing list<br>
&gt;&nbsp; &nbsp; &nbsp;<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a> &lt;mailto:<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a>&gt;<br>
&gt;&nbsp; &nbsp; &nbsp;<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; keycloak-user mailing list<br>
&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">
https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;<br>
<br>
--<br>
Bill Burke<br>
JBoss, a division of Red Hat<br>
<a href="http://bill.burkecentral.com" rel="noreferrer" target="_blank">http://bill.burkecentral.com</a><br>
_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</body>
</html>