mocode-software/meldestelle
1
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity

docs: finalize Keycloak hardening and validate updated Realm config

Browse Source 
Documented the completed Keycloak hardening steps, including PKCE S256 support, CORS security improvements, strengthened password policy, and logout redirect URI configurations. Verified and updated the `meldestelle-realm.json` and roadmap to reflect these changes.

Signed-off-by: Stefan Mogeritsch <stefan.mo.co@gmail.com>
This commit is contained in:
Stefan Mogeritsch
2026-03-09 11:10:21 +01:00
parent f47e5f6415
commit 440ab4b141
4 changed files with 105 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/01_Architecture/_archive/2026-01-15_Roadmap_2026_Q1.md
+2 -1
View File
@@ -28,7 +28,8 @@ Das Ziel dieser Phase ist es, die Entwicklungsumgebung (Build, Docker, Dependenc
### 1.2 Infrastruktur & Docker (DevOps)
- [ ] **Gateway CircuitBreaker:** Behebung des `ClassNotFoundException` / `NoSuchMethodError` im Gateway (vermutlich Folge des Spring Cloud Konflikts).
- [ ] **Docker Stabilität:** Sicherstellen, dass `docker compose up` zuverlässig alle Services (Consul, Keycloak, Postgres) startet und vernetzt.
- [ ] **Keycloak Config:** Validierung der Realm-Konfiguration (`meldestelle`) und der Client-Scopes für den `ping-service`.
- [x] **Keycloak Config:** Validierung der Realm-Konfiguration (`meldestelle`) und der Client-Scopes für den
`ping-service`. _(verifiziert 2026-03-09: frontend-client + PKCE + CORS-Härtung + Password-Policy umgesetzt)_
---
docs/01_Architecture/_archive/2026-01-15_Roadmap_System_Hardening.md
+5 -2
View File
@@ -43,9 +43,12 @@ last_update: 2026-03-09
- Prüfen, ob wir Redis durch Valkey (Open Source Fork) ersetzen, um Lizenzprobleme zu vermeiden.
- Update `docker-compose.yaml`.
- _(verifiziert 2026-03-09: valkey/valkey:9-alpine läuft produktiv in dc-infra.yaml)_
- [ ] **Keycloak Härtung:** _(offen — Priorität: technische Stabilisierung)_
- [x] **Keycloak Härtung:** _(verifiziert 2026-03-09)_
- Export der Realm-Config (`meldestelle-realm.json`) und Mounten im Container (statt manueller Config).
- Sicherstellen, dass `frontend-client` korrekte Redirect-URIs für Desktop & Web hat.
- `frontend-client` (PKCE S256, Custom URI Scheme `meldestelle://callback`) hinzugefügt.
- Wildcard `*` aus `webOrigins` aller Clients entfernt (CORS-Härtung).
- Password-Policy auf `length(10) + digits + upperCase + specialChars` gestärkt.
- `post.logout.redirect.uris` für alle Clients konfiguriert.
### 2.2 Observability
- [ ] **Zipkin Integration:** _(offen — Priorität: technische Stabilisierung)_