分类 Computer Science 下的文章

起因是这样的,我有一个 Go 写的 utils 库,但这个仓库目前是 private 的,于是在其他引用了这个库的项目构建时就需要解决鉴权访问的问题。

先来看看不使用私有库的 Go 项目构建的 Dockerfile:

# build api
FROM golang:1.23 AS builder

WORKDIR /src/app

COPY . ./

RUN --mount=type=cache,target=/go/pkg/mod \
    make

# build the final image
FROM ubuntu:24.04

COPY --from=builder /src/app/bin/api /app/bin/api

而使用了私有库的话,就需要设置 GOPRIVATE 环境变量和鉴权。

在本地开发的时候我是用的 ssh 来访问 git 仓库的,所以在 ~/.gitconfig 追加如下配置即可:

[url "[email protected]:"]
    insteadOf = https://github.com/

但是使用 Docker 构建的时候继续使用 ssh 就会略麻烦(使用 Deploy key)和不安全(使用个人账号 SSH key),那么细粒度的 Access Token 会是更好的选择。

因为 Access Token 是敏感数据,我们是不能直接写在 Dockerfile 里的,所以你可能会想到那就通过构建参数传进去:

+ARG GITHUB_TOKEN
+ENV TOKEN=$GITHUB_TOKEN

 WORKDIR /src/app

 COPY . ./

+RUN go env -w GOPRIVATE="github.com/YianAndCode/MY_PRIVATE_GO_PKG"

+RUN git config --global url."https://${TOKEN}:[email protected]/".insteadOf "https://github.com/"

 RUN --mount=type=cache,target=/go/pkg/mod \
    make

然后构建:

export GITHUB_TOKEN=xxx
docker build --build-arg GITHUB_TOKEN=${GITHUB_TOKEN} -t myapp:latest .

这时你会得到一个警告:

WARN: SecretsUsedInArgOrEnv: Do not use ARG or ENV instructions for sensitive data

因为这样做别人在拿到镜像之后是可以看到你构建过程中的参数的,也不安全。其实在 Docker 官方文档有介绍 Build secrets,我们可以利用这个功能来实现更安全优雅地传入敏感数据。

首先来学习一下 build secrets 的基本知识:

- 阅读剩余部分 -

最近将 PHP 更新到 8.0 了,顺便也将 Typecho 更新了一下以便适配 PHP 8,再有就是最近经常将博客迁来迁去的,于是用 docker-compose 搞了个 Typecho 的环境,分享给有需要的小伙伴~

https://github.com/YianAndCode/typecho-in-docker

目前主要集成了 php:8.0-fpmnginx:latest,但该环境不包含 MySQL 数据库,不过 PHP 环境已经安装 pdo_mysqlpdo_sqlite 扩展,可以使用 MySQL 或者是 SQLite 数据库

0x00 奇怪的现象

最近在写 Phalcon ORM 查询结果集遍历的时候发现 Phalcon ORM 有个很神奇的现象:当你用 foreach 遍历 Model->find() 之后的结果(Phalcon\Mvc\Model\Resultset\Simple),如果在遍历中有访问下一个($key + 1)元素,就会自动执行 next(),下一个元素就不会出现在 foreach 的下一次遍历中了...

举个例子,比如说我们有一张表 users,我们创建一个 User model,执行如下代码:

<?php

$users = \Models\User::find([
    'conditions' => 'role = 1'    // 这里可以是别的查询条件
]);

// 这里假设查询出来的记录只有两条,即 count($users) == 2

foreach ($users as $key => $user) {
    echo "key: $key, user_id: {$user->id}\n";
    // 假设这里因为业务逻辑的需要访问下一个 model
    $foo = $users[$key + 1];
}

你可能会觉得上面的循环在执行到第二次会报 PHP Notice: Undefined offset,但实际上,它什么也没报,只是安安静静地输出了:

- 阅读剩余部分 -

0x00 背景

最近用了阿里云消息服务中的主题订阅,发现当 MNS 向 Endpoint 投递消息时,当前的签名机制会存在一定的风险

0x01 MNS 签名机制

MNS Endpoint 的签名机制是使用 sha1WithRSAEncryption 对一系列参数签名,Enpoint 接收到请求之后再从 header 里取出相应的参数并校验其签名。

其中 sha1WithRSAEncryption 算法就会用到一张 X509 证书,这个是本次实验的关键。

- 阅读剩余部分 -

在 PHP 里,如果想获取下个月的今天,我们通常会用 strtotime('2019-01-13 +1 month') 或者是 strtotime('next month', strtotime('2019-01-13')),结果是 1549987200,用 date 转换成字符串就是 2019-02-13,so easy!

随着时间流逝,到了 2019-01-31 这一天,这代码似乎出问题了,居然得到的是 2019-03-03???

- 阅读剩余部分 -