العربية
  • إصدار

تحديثات منتج Logto

الإصدار v1.39.0 من Logto أصبح متاحًا الآن، مع تدوير أكثر أمانًا لمفاتيح التوقيع، معالجة أكثر ذكاءً لأخطاء برمجيات JWT، توسيع ضوابط الأمان في مركز الحسابات، دعم موصل WhatsApp، وتحسينات رئيسية في الأمان.

Simeng
Simeng
Developer

توقف عن إضاعة أسابيع في مصادقة المستخدم
أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.
ابدأ الآن
Product screenshot

يسعدنا أن نقدم Logto v1.39.0، إصدار يركز على تعزيز الأمان التشغيلي، تخصيص أكثر مرونة للرموز، وتحسين أمان حسابات المستخدمين النهائيين. يُضيف هذا الإصدار فترة سماح عند تدوير مفاتيح التوقيع الخاصة، ومعالجة أخطاء قابلة للتخصيص لبرمجيات JWT المخصصة، صفحة أمان جديدة في مركز الحسابات، دعم موصل WhatsApp عبر Meta Cloud API، والعديد من التحسينات في الأمان والموثوقية ضمن تدفقات المصادقة.

أبرز الميزات

  • فترة سماح لتدوير مفتاح التوقيع الخاص: يدعم Logto الآن فترة سماح عند تدوير مفاتيح التوقيع الخاصة، مما يساعد العملاء على تحديث ذاكرة تخزين JWKS المؤقتة دون توقف الخدمة.
  • معالجة أخطاء برمجيات JWT المخصصة: يمكن الآن حجب إصدار الرموز عند فشل تنفيذ نصوص JWT المخصصة.
  • صفحة الأمان في مركز الحساب: يمكن للمستخدمين النهائيين الآن إدارة ربط وفصل الحسابات الاجتماعية، التحقق بخطوتين MFA، وحذف الحساب من مركز الحسابات.
  • موصل WhatsApp: أصبح موصل رسائل WhatsApp متاحًا الآن عبر Meta Cloud API.
  • تصحيحات أمان وتوافق: تم توحيد استجابات التحقق من نسيان كلمة المرور للحد من خطر تعداد الحسابات، وإعادة توجيه الشبكات الاجتماعية / SSO في المتصفحات ضمن التطبيق أصبحت أكثر مرونة.

ميزات وتحديثات جديدة

فترة سماح لتدوير مفتاح التوقيع الخاص

يدعم Logto الآن فترة سماح خلال تدوير مفتاح التوقيع الخاص.

يمكن ضبط ذلك عبر:

  • متغير البيئة PRIVATE_KEY_ROTATION_GRACE_PERIOD.
  • خيار CLI --gracePeriod.

خلال فترة السماح:

  • يتم تعيين مفتاح التوقيع الجديد كـ التالي.
  • يظل مفتاح التوقيع الحالي نشطًا كـ الحالي.
  • يحصل العملاء على مهلة لتحديث JWKS المؤقتة قبل تفعيل المفتاح الجديد.

بعد انتهاء فترة السماح:

  • ينتقل مفتاح التوقيع الجديد ليصبح الحالي.
  • يوسم المفتاح القديم كـ السابق.

هذا يُوفر عملية أكثر سلاسة في تدوير المفاتيح ويساعد على تجنب فشل المصادقة الناتجة عن ذاكرات JWKS المؤقتة القديمة.

للمزيد: تدوير مفاتيح التوقيع

معالجة أخطاء برمجيات JWT المخصصة

يدعم Logto الآن معالجة أخطاء قابلة للتخصيص لبرمجيات JWT المخصصة في تدفقات رموز الدخول وبيانات الاعتماد للعملاء.

التغييرات المتضمنة:

  • يمكن الآن حجب إصدار الرمز عند فشل تنفيذ البرمجية.
  • يُحافظ على api.denyAccess() كرد access_denied.
  • تعاد أخطاء النمط الحاجز الأخرى كاستجابات invalid_request محلية.
  • أضيفت علامة تبويب معالجة الأخطاء جديدة في وحدة التحكم لضبط السلوك.
  • البرمجيات المنشأة حديثًا تُفعل افتراضيًا خيار blockIssuanceOnError.
  • البرمجيات الموجودة دون قيمة محفوظة تظل بالوضع السابق المعطل.
  • تم تحديث الإرشادات، العبارات، المخططات، وتغطية التكامل ذات الصلة.

يساعد هذا المطورين على تحديد ما إذا كان فشل التخصيص يجب أن يؤدي إلى الفشل أو الاستمرار، بحسب متطلبات الأمان لديهم.

صفحة الأمان في مركز الحساب

يتضمن هذا الإصدار صفحة أمان جديدة في مركز الحسابات الجاهز.

يمكن للمستخدمين الآن إدارة أمان حساباتهم من /account/security، بما يشمل:

  • ربط وفصل الحسابات الاجتماعية.
  • ميزة التحقق بخطوتين (MFA).
  • حذف الحساب.

دعم وحدة التحكم:

  • تعرض إعدادات مركز الحساب في تجربة تسجيل الدخول الآن حقل رابط حذف الحساب.
  • تظهر وحدة التحكم روابط مركز الحساب وواجهات المستخدم الاجتماعية المدمجة.

موصل WhatsApp عبر Meta Cloud API

تمت إضافة موصل WhatsApp جديد لإرسال الرسائل عبر Meta Cloud API.

يتيح هذا سيناريوهات إرسال رسائل SMS أو رموز التحقق عبر WhatsApp باستخدام تكامل Meta Cloud API الرسمي.

أجسام استجابة API لتعيين المؤسسات

الآن تُعيد واجهات برمجة التطبيقات (APIs) الخاصة بتعيين مستخدمي المؤسسة وأدوارهم أجسام استجابة.

نقاط النهاية المحدثة:

  • الآن يعيد POST /organizations/:id/users القيمة { userIds: string[] }، تكرارًا لمعرفات المستخدمين في الطلب.
  • يعيد POST /organizations/:id/users/:userId/roles القيمة { organizationRoleIds: string[] }، متضمنة معرفات الأدوار النهائية (بدون تكرار) المعينة للمستخدم، بما في ذلك ما يتم حله من أسماء الأدوار.

تحديث رمز سمات وحدة التحكم

تتضمن سمات وحدة التحكم الآن الرمز المفقود --color-overlay-primary-subtle لكل من الوضعين الفاتح والداكن.

إصلاحات الأخطاء والثبات

حماية ضد تعداد التحقق من نسيان كلمة المرور

تعيد خاصية التحقق عند نسيان كلمة المرور الآن رسالة خطأ موحدة verification_code.code_mismatch.

يمنع هذا كشف وجود البريد الإلكتروني أو رقم الهاتف من خلال اختلاف الاستجابات.

إعادة توجيه الشبكات الاجتماعية و SSO في متصفحات التطبيقات

تحسين موثوقية إعادة توجيه الشبكات الاجتماعية و SSO في متصفحات التطبيقات مثل Instagram وFacebook وLINE.

بعض هذه المتصفحات تفتح صفحات OAuth لمزودي الهوية في WebView جديد، ما يؤدي إلى فقدان بيانات sessionStorage عند العودة.

يضيف هذا الإصدار آلية احتياطية باستخدام localStorage:

  • ما يزال يتم حفظ حالة إعادة التوجيه في sessionStorage.
  • تُخزن حزمة سياق إعادة التوجيه أيضًا في localStorage كنسخة احتياطية.
  • عند العودة، يستعيد Logto الحالة من localStorage في حال فقدان sessionStorage.
  • تُستهلك بيانات النسخة الاحتياطية تلقائيًا بعد القراءة وتُحذف بعد 10 دقائق.
  • إذا كانت كل من المنطقتين التخزين فارغة، يتم عرض رسالة خطأ للمستخدم.

عنوان IP لطلب موصل رمز التحقق

تم إصلاح مشكلة عدم تمرير عنوان IP الخاص بالطلب إلى الموصلات عند إرسال رموز التحقق.

ويتيح هذا للموصلات استقبال السياق الصحيح للطلب أثناء إرسال رموز التحقق.