Deutsch
  • release

Logto Produkt-Updates

Logto v1.41.0 bietet app-spezifische Zugriffskontrolle, Passwortablauf-Richtlinien, umfangreiche Upgrades im Account Center, konfigurierbare Benutzernamen- und Verifizierungscode-Regeln, sicherere Nachrichtenübermittlung und eine Runde Protokoll-/Sicherheitsverbesserungen.

Sijie
Sijie
Developer

Verschwenden Sie keine Wochen mit Benutzerauthentifizierung
Bringen Sie sichere Apps schneller mit Logto auf den Markt. Integrieren Sie Benutzerauthentifizierung in Minuten und konzentrieren Sie sich auf Ihr Kernprodukt.
Jetzt starten
Product screenshot

Logto v1.41.0 ist ein Release mit Fokus auf Kontrolle und Sicherheit. Es gibt Teams feinere Möglichkeiten, zu entscheiden, wer auf welche App zugreifen kann, umfassendere Steuerung des Passwort-Lebenszyklus und ein wesentlich leistungsfähigeres Account Center für Endnutzer. Außerdem werden die Übermittlung von Verifizierungscodes, Benutzernamenregeln, SAML/OIDC-Handling, MFA-Wiederholschutz und Upgrade-Pfade für Self-Hosting verschärft. Das ist neu:

App-Ebene Zugriffskontrolle

Du kannst jetzt direkt aus Logto heraus den Zugriff auf eine Applikation einschränken. Zugriffsregeln können gezielt auf bestimmte Nutzer, Nutzerrollen, Organisationen oder Organisationsrollen angewendet werden.

Wenn ein Nutzer nicht den konfigurierten Regelwerken entspricht, blockiert Logto den Login- oder App-Zugriffs-Flow mit einer "Zugriff verweigert"-Seite, anstatt die Anfrage weiterlaufen zu lassen. Damit wird das Ausrollen von Apps, kundenspezifischer Zugriff, Schutz von internen Tools und organisationsbasierter Zugriff leichter verwaltbar, ohne die gesamte Entscheidung ins eigene Applikations-Code zu verschieben.

Sieh dir die App-Level Access Control Dokumentation für den vollständigen Setup-Ablauf an.

Richtlinien für Passwortablauf

In der Konsole kannst du jetzt festlegen, dass Passwörter auf Mandantenebene ablaufen (Sicherheit > Passwort-Richtlinie).

Admins können Passwortablauf aktivieren, die Gültigkeitsdauer konfigurieren und das Passwort eines einzelnen Nutzers manuell ablaufen lassen. Läuft ein Passwort ab, muss der Nutzer es über die eingerichtete Wiederherstellungsmethode zurücksetzen, bevor er sich mit Passwort erneut anmelden kann.

SSO- und Passkey-Logins sind nicht betroffen. Bestehende Nutzer ohne aufgezeichnetem Passwort-Wechsel-Zeitpunkt werden sauber behandelt: Logto verankert sie auf die Aktivierungszeitpunkt der Richtlinie, sodass sie die volle Gültigkeitsdauer erhalten anstatt sofort abzulaufen.

Account Center erhält mehr Self-Service-Steuerung

Das Account Center entwickelt sich weiter zur vollwertigen Self-Service-Identitätsoberfläche für Endnutzer.

Mit diesem Release kommen Sitzungsverwaltung, die Überprüfung verbundener Drittanbieter-Applikationen, Profilverwaltung, Avatar-Upload, Avatar-Upload während der Profil-Erfassung bei Registration, unabhängige Passkey-Steuerung und eine benutzerseitige Einstellung für Passkey-Login-Prompts hinzu.

Auch die Profilseite im Account Center, benutzerdefinierte Profilfelder bei Registrierung und Avatar-Upload-Endpunkte sind jetzt aus der Developer-Gate entfernt.

Einige wichtige Korrekturen gab es außerdem:

  • Theme, Plattform und Markenfarbe werden jetzt vor dem Hydrieren angewendet, um visuelles Blinken zu reduzieren.
  • Step-Up-Verifizierung ist auf Nutzerberechtigungsüberprüfungsdaten begrenzt.
  • Soziale Identitäten können ohne Passwort-, E-Mail- oder Telefon-Verifizierung verknüpft werden, wenn der Nutzer keine Legacy-Verifizierungsmethoden hat.
  • Benutzernamen-Bearbeitung in der Konsole leitet jetzt ins Account Center weiter, damit erforderliche Verifizierungen abgeschlossen werden können.

Benutzernamen- und Verifizierungscode-Richtlinien

Benutzernamen-Regeln sind jetzt auf Mandantenebene in Konsole > Anmeldeerlebnis > Registrierung und Anmeldung > Erweiterte Optionen konfigurierbar.

Die Richtlinie deckt Groß-/Kleinschreibung, Längenbegrenzung und erlaubte Zeichentypen ab. Sie gilt für alle Benutzernamen-Schreibaktionen, einschließlich Registrierung, Profil-Erfüllung, Account Center, Account API und /me.

Der Wechsel zu nicht-kleinschreibungssensitiven Benutzernamen ist geschützt: Logto prüft, ob bereits existierende Benutzernamen sich nur durch die Groß-/Kleinschreibung unterscheiden, und blockiert die Umstellung bis keine Konflikte mehr bestehen. Der OIDC-Claim preferred_username fällt jetzt auch auf den username zurück, wenn profile.preferredUsername nicht gesetzt ist.

Verifizierungscode-Einstellungen sind ebenfalls in den Security-Einstellungen der Konsole umgezogen. Admins können Ablauffrist und maximale Wiederholversuche für Verifizierungscodes konfigurieren.

Sicherere Nachrichtenübermittlung

Logto begrenzt jetzt die systemweite Versandfrequenz pro Empfänger für Mail/SMS-Verifizierung und Einladungsnachrichten, einschließlich Experience, MFA, Account API, Management API, /me, Organisationseinladungen und der Legacy Interaction API.

Wenn ein Versand gebremst wird, sendet Logto ein Message.RateLimited-Webhook-Event, das jetzt in den Console-Webhook-Einstellungen auswählbar ist.

Auch die Zustellung von Verifizierungscodes an unbekannte Empfänger wird unterdrückt, wenn die Registrierung deaktiviert ist. Das verringert das Risiko der Kontenerkennung.

JWT-Customizer und API-Verbesserungen

Für Organisation-API-Resource-Token erhält der Access-Token-JWT-Customizer jetzt context.organization mit der Zielorganisation id, name, description und customData.

Damit lassen sich organisationsspezifische Claims leichter hinzufügen, ohne alle Organisationen in jeden Token einbetten zu müssen.

Einige API-Verbesserungen sind zudem enthalten:

  • POST /api/applications/:applicationId/roles ist jetzt idempotent. Bereits existierende Rollen-IDs werden ignoriert, anstatt mit 422 application.role_exists zu antworten.
  • Der Endpunkt liefert jetzt 201 zurück mit { roleIds, addedRoleIds }, was dem Format der API für Nutzer-Rollen-Zuweisung entspricht.
  • Die Erstellung von Organisationsrollen mit anfänglichen Scopes erfolgt jetzt transaktional, sodass ungültige Scope-IDs keine teils angelegten Rollen mehr hinterlassen.

Sicherheits- und Protokollhärtung

Dieses Release beinhaltet gezielte Verbesserungen an Protokoll und Sicherheit:

  • SAML IdP Auto-Submit-Formulare escapen jetzt HTML-Attributwerte und lehnen Non-HTTP(S)-Action-URLs ab.
  • samlify wurde auf ^2.13.0 aktualisiert für verbessertes XML-Escaping in generierten SAML Assertions.
  • TOTP MFA-Verifizierungen lehnen jetzt wiederverwendete Codes desselben oder älteren Time-Steps ab.
  • OIDC-Request-Bodies mit Null-Bytes liefern jetzt 400 invalid_request.
  • Audit-Log-Nutzdaten werden vor dem Einfügen von Null-Bytes bereinigt.
  • Die Blockliste für Mail-Subaddressing baut keine Regex-Ausdrücke mehr aus nutzerkontrollierten Eingaben.
  • Der Logto Tunnel verhindert, dass statische Dateianfragen außerhalb des konfigurierten Experience-Pfads lesen.

Auch Kompatibilitäts- und Speicher-Fehlerbehebungen sind enthalten: Älteres Safari und iOS 15 stürzen beim Start nicht länger wegen nicht unterstützter Regex-Lookbehind-Syntax ab, OIDC-Enterprise-Konnektoren können Discovery-Konfiguration jetzt auch von Providern abfragen, die reine JSON-Antwortverhandlung ablehnen, und Azure Blob UI-Asset-Transportfehler werden jetzt als wiederholbare Speicher-Download-Fehler behandelt.

Neue und verbesserte Konnektoren

Dieses Release liefert mehrere neue und verbesserte Konnektor-Funktionen:

  • Neuer SMTP2GO Mail-Konnektor für den Versand von Auth-Mails über die SMTP2GO API.
  • QQ-Konnektor-Unterstützung für Social-Identity-Verifizierung mit gespeicherter Redirect-URI.
  • SAML-Konnektor-Upgrade für samlify und dessen strengere Rückgabetypen.
  • Connector Kit exportiert jetzt gemeinsame SMTP-Postfach-Parsing- und Formatierungsdienste, welche auch von MailJunky genutzt werden.

Für Selfhoster

Für v1.41.0 ist eine Datenbankmigration nötig. Das Release bringt Schema-Änderungen für Passwortablauf, Benutzernamen-Policy, Verifizierungscode-Policy, Nachrichtenraten-Sentinel-Indexes, Account-Center-Defaults und Service-Log-Indexes.

Nach dem Upgrade führe vor dem Starten der neuen Version den Alterationsbefehl für die Datenbank aus. Siehe den Upgrade-Guide für Details.

Die Umgebungsvariable CASE_SENSITIVE_USERNAME ist jetzt veraltet. Sie funktioniert noch als Laufzeit-Override, jedoch sollte die Benutzernamen-Groß/Kleinschreibung künftig pro Mandant über die neue Policy konfiguriert werden. Die Variable wird mit dem nächsten Major-Release entfernt.

Loslegen

Bereit für das Upgrade? Sieh dir den Upgrade-Guide für die Schritt-für-Schritt-Anleitung an.

Die gesamte Liste der Änderungen findest du auf der GitHub Release-Seite.

Fragen oder Feedback? Tritt unserem Discord bei oder eröffne ein Issue auf GitHub.