Deutsch
  • release

Logto Produkt-Updates

Logto v1.38.0 ist da. Dieses Release bringt Unterstützung für OAuth 2.0 Device Authorization Grant, Passkey-Login, adaptives MFA, Sitzungs- und Berechtigungsverwaltung sowie flexiblere OIDC-Konfiguration für OSS-Bereitstellungen.

Charles
Charles
Developer

Verschwenden Sie keine Wochen mit Benutzerauthentifizierung
Bringen Sie sichere Apps schneller mit Logto auf den Markt. Integrieren Sie Benutzerauthentifizierung in Minuten und konzentrieren Sie sich auf Ihr Kernprodukt.
Jetzt starten
Product screenshot

Wir freuen uns, Logto v1.38.0 anzukündigen, unser Release für März 2026! Dieses Update fügt den Gerätefluss für Eingabe-beschränkte Apps hinzu, führt den Passkey-Login und Verbesserungen beim adaptiven MFA ein und erweitert die Steuerung für Sitzungen, Berechtigungen und Mandanten-Einstellungen in ganz Logto.

Gerätefluss für input-beschränkte Apps

Eine der größten Neuerungen in diesem Release ist die Unterstützung des OAuth 2.0 Device Authorization Grant. Dies erleichtert die Entwicklung von Authentifizierungsflüssen für Geräte, die keine vollständige Tastatur oder keinen Browser bieten, wie Smart-TVs, CLI-Tools, Spielkonsolen und IoT-Geräte, erheblich.

Mit dem Gerätefluss können Nutzer:

  • Die Anmeldung auf dem Gerät starten
  • Eine Verifizierungs-URL auf einem anderen Gerät öffnen
  • Einen kurzen Benutzer-Code eingeben
  • Die Authentifizierung dort abschließen
  • Mit ausgegebenen Tokens zum ursprünglichen Gerät zurückkehren

Wir haben auch vollständigen Console-Support für Device-Flow-Anwendungen hinzugefügt. Du kannst jetzt Device-Flow-Apps erstellen, indem du unter Native Apps Eingabebeschränkte App / CLI auswählst oder Device flow als Autorisierungsfluss beim manuellen Erstellen einer App wählst. Die Anwendungsübersichtsseite enthält außerdem eine integrierte Anleitung und eine Demo zum Einstieg.

Passkey-Login wird ein erstklassiger Authentifizierungsfluss

Dieses Release führt den Passkey-Login als vollständige Authentifizierungsmethode in Logto ein.

Der Passkey-Login bietet eine schnellere, passwortlose Erfahrung für zurückkehrende Nutzer und verbessert gleichzeitig die Kontosicherheit. Er funktioniert mit bekannten Plattform-Authentifikatoren wie Face ID, Touch ID und Windows Hello.

Wir haben Unterstützung für mehrere passkey-basierte User Journeys hinzugefügt:

  • Einen eigenen Mit Passkey fortfahren-Button für den sofortigen Login
  • Einen „Identifier-First“-Fluss, der zuerst Passkey-Verifikation versucht und bei Bedarf auf Passwort oder Verifizierungscode zurückfällt
  • Browser-Autofill-Unterstützung, sodass Nutzer einen gespeicherten Passkey direkt aus dem Identifier-Eingabefeld auswählen können
  • Passkey-Bindung während der Registrierung für neue Nutzer
  • Die Wiederverwendung eines bestehenden WebAuthn-MFA-Zertifikats für Passkey-Login ohne zusätzlichen Registrierungsschritt

Mehr Details findest du in unserer Dokumentation zum Passkey-Login.

Adaptives MFA und bessere MFA-Anleitung

Dieses Release setzt unsere Investitionen in moderne MFA-Erlebnisse mit zwei größeren Verbesserungen fort.

Adaptives MFA

Adaptives MFA wird jetzt in Logto unterstützt. Bei Aktivierung prüft der Anmeldefluss adaptive MFA-Regeln für den Anmeldekontext und erfordert MFA, wenn diese Regeln ausgelöst werden.

Dies beinhaltet außerdem:

  • Adaptive MFA-Konfiguration in der Console
  • Persistierten Anmeldekontext in den Interaktionsdaten
  • Zugriff auf context.interaction.signInContext in Custom-Claims-Skripten
  • Ein neues PostSignInAdaptiveMfaTriggered-Webhook-Event

Optionale MFA-Einrichtung

Für Nutzer, die MFA nicht einrichten müssen, kann Logto nun nach der Anmeldebestätigung eine eigene Einrichtungsseite anzeigen und fragen, ob sie für besseren Schutz MFA aktivieren möchten.

Dies ist besonders nützlich in Verbindung mit Passkey-Login, bei dem Nutzer Passkeys zum Login verwenden möchten, aber MFA nicht sofort aktivieren müssen.

Sitzungs- und Berechtigungsverwaltung über API und Console

Dieses Release bringt eine wichtige Sammlung an Account- und Admin-Funktionen zur Verwaltung von Nutzersitzungen und autorisierten Anwendungen.

Nutzersitzungsverwaltung

Logto unterstützt jetzt die Sitzungsverwaltung sowohl in Account-APIs als auch Management-APIs. Du kannst aktive Sitzungen auflisten, Sitzungsdetails ansehen und Sitzungen mit optionalem Widerruf der Berechtigung beenden.

Wir haben außerdem eingeführt:

  • Eine neue session-Berechtigung in den Account Center-Einstellungen mit den Optionen off, readOnly und edit
  • Einen neuen urn:logto:scope:sessions-User-Scope für sitzungsbezogenen API-Zugriff
  • Kontextreichere Sessions, inklusive IP, User-Agent und GEO-Location, wenn verfügbar

In der Console gibt es nun im Benutzerprofil einen Aktive Sitzungen Bereich und eine eigene Seite mit Details und Widerruf-Option.

Verwaltung von Autorisierten Anwendungsberechtigungen

Logto unterstützt jetzt das Listen und Widerrufen von Benutzergenehmigungen sowohl in den Account- als auch Management-APIs.

Dieses Release bringt auch einen Bereich Autorisierte Apps von Drittanbietern auf der Seite mit Benutzerdetails in der Console. Administratoren können aktive Drittanbieterberechtigungen sehen, Metadaten wie App-Name und Erstellungszeit einsehen und den Zugriff direkt in der UI widerrufen.

Geräte-Limits auf App-Ebene

Anwendungen können nun einen maxAllowedGrants-Wert in customClientMetadata angeben, um zu begrenzen, wie viele aktive Berechtigungen ein Nutzer für eine App gleichzeitig halten kann. Wird das Limit überschritten, widerruft Logto automatisch die ältesten Berechtigungen.

In der Console gibt es hierfür einen neuen Abschnitt Limit gleichzeitiger Geräte in den App-Details zur visuellen Konfiguration.

Mehr OSS-Steuerung für OIDC-Einstellungen

Für OSS-Nutzer bietet dieses Release anpassbarere OIDC-Einstellungen und erleichtert deren Verwaltung.

Du kannst jetzt oidc.session.ttl in logto-config festlegen, um die OIDC-Session-TTL in Sekunden zu definieren. Falls nicht gesetzt, bleibt der Standard bei 14 Tagen.

Neu hinzugekommen:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

In der Console gibt es jetzt unter Tenant -> Einstellungen einen neuen Tab OIDC-Einstellungen, der den alten Bereich für Signierschlüssel ersetzt. Die neue Seite enthält auch ein Feld Maximale Lebensdauer der Sitzung, um die Session-TTL in Tagen festzulegen.

Wenn du OSS betreibst, denke daran, den Dienst nach Konfigurationsänderungen neu zu starten, damit OIDC-Einstellungen geladen werden. Wenn Änderungen automatisch übernommen werden sollen, aktiviere den zentralen Redis-Cache.

Verbesserungen im Account Center

Das mitgelieferte Account Center erhält in diesem Release ebenfalls einige nützliche Upgrades.

Nutzer können jetzt:

  • Ihre Authenticator-App über eine eigene /authenticator-app/replace-Route austauschen
  • Das URL-Parameter identifier nutzen, um Felder vorab auszufüllen
  • Die Account Center-Sprache mit dem URL-Parameter ui_locales überschreiben

Außerdem wurden die Passwortformulare für besseres Browser-Autofill und Passwort-Manager-Kompatibilität verbessert.

Entwicklerzentrierte API-Verbesserungen

Für Teams, die Nutzer nach Logto migrieren: Die Endpunkte GET /users und GET /users/:userId unterstützen jetzt den Query-Parameter includePasswordHash. Ist dieser aktiviert, liefert die Antwort passwordDigest und passwordAlgorithm zurück – das kann bei Migrationen helfen, die Roh-Hashdaten benötigen.

Wir haben zudem die Unterstützung für Access-Token-Austausch in Service-zu-Service-Delegationsszenarien hinzugefügt. Logto kann jetzt undurchsichtige ODER JWT-Access-Tokens gegen neue Access-Tokens mit anderen Audiences austauschen, entsprechend dem Standard urn:ietf:params:oauth:token-type:access_token.

Fehlerbehebungen

Dieses Release enthält außerdem mehrere Stabilitäts- und Kompatibilitätsverbesserungen:

  • MFA-Verifizierungsrouten für TOTP, WebAuthn und Backup-Codes melden Aktivitäten jetzt an Sentinel, womit wiederholte Fehler besser erkannt und isoliert werden können.
  • OIDC-Adapterabfragen für findByUid und findByUserCode nutzen jetzt explizite JSONB-Keys, damit Ausdruck-Indizes unter vorbereiteten generischen Plänen besser funktionieren.
  • Die Initialisierung des Postgres-Pools erfolgt nun mit Retry bei temporären Verbindungsfehlern beim Start.
  • Legacy-Passwortverifikation unterstützt nun hex:-präfixierte PBKDF2-Salze bei der Nutzerübernahme.
  • Token-Austausch ist jetzt durch Caching minimaler OIDC-Resource-Lookups und das Vorberechnen von Grant-IDs während der Token-Ausgabe performanter.
  • Twilio-SMS-To-Formatierung wird für nicht-E.164-Nummern jetzt durch Voranstellen eines + vereinheitlicht.

Breaking Changes

Dieses Release enthält eine Breaking-Change im Connector-Toolkit.

Der schon lange veraltete Export mockSmsVerificationCodeFileName wurde aus @logto/connector-kit entfernt.

Außerdem wurden die Dateipfade geändert, die Mock-Connectors zum Speichern versandter Nachrichten nutzen:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Wenn deine lokalen oder Docker-basierten Workflows auf den alten Pfaden beruhen, solltest du sie aktualisieren.

Neue Contributor:innen

Danke an unsere neuen Contributor:innen für ihre Unterstützung bei der Verbesserung von Logto:

Loslegen

Bereit für das Upgrade? Wirf einen Blick in unsere Upgrade-Anleitung für Schritt-für-Schritt-Hilfe.

Eine komplette Übersicht aller Änderungen findest du auf der GitHub-Release-Seite.

Noch Fragen oder Feedback? Tritt unserem Discord bei oder eröffne ein Issue auf GitHub.