Logto Produkt-Updates

Wir freuen uns, Logto v1.35.0, unser Dezember-Release 2025, ankündigen zu können! Dieses Update bringt erweiterte reCAPTCHA-Anpassungsoptionen, einen vergrößerten Support für Drittanbieter-Anwendungen und verbesserte Sicherheitsfunktionen für passwortlose Authentifizierung.

reCAPTCHA wird flexibler#

reCAPTCHA überall nutzen mit Domain-Anpassung#

Eine der meistgewünschten Funktionen war die Möglichkeit, reCAPTCHA in Regionen zu verwenden, in denen die Standard-Domain von Google möglicherweise nicht erreichbar ist. Mit v1.35.0 kannst du jetzt die reCAPTCHA-Domain anpassen und Alternativen wie recaptcha.net nutzen. So funktioniert dein Bot-Schutz weltweit reibungslos für alle Nutzer.

Wähle deinen Verifizierungsstil mit dem Checkbox-Modus#

reCAPTCHA Enterprise-Nutzer haben nun die Wahl zwischen zwei Verifizierungsmodi:

• Unsichtbarer Modus: Die Standard-Überprüfung auf Basis eines Scores läuft im Hintergrund und bietet den Nutzern ein nahtloses Erlebnis bei gleichzeitigem Schutz vor Bots.

• Checkbox-Modus: Das klassische „Ich bin kein Roboter"-Widget, das viele Nutzer bereits kennen. Dieser Modus sorgt für explizite Nutzer-Interaktion und eignet sich, wenn du möchtest, dass Nutzer den Verifizierungsschritt bewusst wahrnehmen.

Achte einfach darauf, dass dein Verifizierungsmodus mit dem Typ deines reCAPTCHA-Schlüssels in der Google Cloud Console übereinstimmt – und schon kann es losgehen.

Drittanbieter-Apps: Jetzt auch für SPA und Native#

Bisher konnten in Logto nur klassische Webanwendungen als Drittanbieter-Apps verwendet werden. Mit diesem Release entfällt diese Einschränkung – jetzt lassen sich auch Single Page Applications (SPA) und native Anwendungen als Drittanbieter-Apps erstellen.

Das ermöglicht flexiblere OAuth/OIDC-Integrationsszenarien, egal ob du ein Partner-Ökosystem aufbaust, Drittanbieter-Integrationen ermöglichst oder mehrere Client-Anwendungen mit unterschiedlichen Vertrauensstufen verwaltest.

Verbesserte Sicherheit für passwortlose Authentifizierung#

Client-IP-Tracking#

Für Organisationen, die zusätzliche Sicherheitskontrollen rund um passwortlose Authentifizierung benötigen, haben wir das Tracking der Client-IP-Adresse zur Connector-Nachrichten-Payload hinzugefügt. Der Typ SendMessageData enthält jetzt ein optionales Feld ip, das HTTP-E-Mail- und SMS-Connectors folgendermaßen nutzen können:

• Rate-Limiting: Missbrauch vorbeugen, indem Anfragen von bestimmten IP-Adressen limitiert werden
• Betrugserkennung: Verdächtige Muster auf Basis von IP-Geolocation oder Reputation identifizieren
• Audit-Logging: Vollständige Logs für Sicherheits-Compliance führen

Intelligenteres Template-Handling für E-Mail/SMS#

Wir haben die Fallback-Logik für Templates bei E-Mail- und SMS-Connectors verbessert. Wenn kein spezifisches Template für die Nutzung gefunden wird, greift das System jetzt elegant auf das generische Template zurück. Dabei wird auch das generische Template in der Standard-Lokalisierung einbezogen, falls keine lokalisierte Version existiert – so erhalten deine Nutzer immer korrekt formatierte Nachrichten.

Fehlerbehebungen#

Verbesserungen bei SAML-Integration#

• Erweiterte Relay-State-Unterstützung: Die Relay-State-Spalte unterstützt jetzt bis zu 512 Zeichen (zuvor 256) – damit sind Integrationsprobleme mit Diensten wie Firebase behoben, die längere Relay-State-Werte erzeugen.
• Bessere Fehlermeldungen: Die SAML-Authentifizierungs-APIs liefern nun klarere Fehlermeldungen und erleichtern so die Fehlersuche.

API-Parameter korrigiert#

Ein Benennungsfehler eines Parameters in der SAML-App-Erstellungs-API wurde behoben, der zu Fehlern bei Filter- und Paywall-Berechnungen führen konnte.

Loslegen#

Bereit für das Upgrade? Sieh dir unseren Upgrade-Guide für eine Schritt-für-Schritt-Anleitung an.

Die vollständige Liste aller Änderungen findest du auf der GitHub Release-Seite.

Du hast Fragen oder Feedback? Komm auf unseren Discord oder öffne ein Issue auf GitHub.