Español
  • lanzamiento

Actualizaciones de producto de Logto

Logto v1.39.0 ya está aquí, trayendo una rotación de claves de firma más segura, manejo más inteligente de errores en scripts JWT, controles de seguridad ampliados en el Centro de Cuentas, soporte para el conector de WhatsApp y mejoras clave de seguridad.

Simeng
Simeng
Developer

Deja de perder semanas en la autenticación de usuarios
Lanza aplicaciones seguras más rápido con Logto. Integra la autenticación de usuarios en minutos y concéntrate en tu producto principal.
Comenzar
Product screenshot

Estamos encantados de presentar Logto v1.39.0, una versión centrada en la seguridad operativa, una personalización de tokens más flexible y una mejor seguridad para las cuentas de los usuarios finales. Esta versión añade un período de gracia para la rotación de claves privadas de firma, manejo de errores configurable para scripts JWT personalizados, una nueva página de seguridad en el Centro de Cuentas, soporte para el conector de WhatsApp mediante la API Meta Cloud y varias mejoras de seguridad y fiabilidad en los flujos de autenticación.

Destacados

  • Período de gracia en la rotación de claves privadas de firma: Logto ahora admite un período de gracia al rotar las claves de firma privadas, lo que ayuda a los clientes a actualizar las JWKS en caché sin tiempo de inactividad.
  • Manejo de errores de scripts JWT personalizados: La personalización del JWT de los tokens de acceso y credenciales de clientes ahora puede bloquear la emisión de tokens cuando los scripts fallan.
  • Página de seguridad en el Centro de Cuentas: Los usuarios finales ahora pueden gestionar el enlace de cuentas sociales, MFA y la eliminación de cuentas desde el Centro de Cuentas.
  • Conector de WhatsApp: Un nuevo conector de WhatsApp SMS está disponible a través de la API Meta Cloud.
  • Correcciones de seguridad y compatibilidad: Las respuestas de verificación de recuperación de contraseña ahora están unificadas para reducir el riesgo de enumeración de cuentas, y las redirecciones sociales / SSO en navegadores internos son más resistentes.

Novedades y mejoras

Período de gracia en la rotación de claves privadas de firma

Logto ahora admite un período de gracia durante la rotación de la clave de firma privada.

Esto se puede configurar a través de:

  • La variable de entorno PRIVATE_KEY_ROTATION_GRACE_PERIOD.
  • La opción CLI --gracePeriod.

Durante el período de gracia:

  • La nueva clave de firma generada se marca como Siguiente.
  • La clave de firma existente permanece activa como Actual.
  • Los clientes tienen tiempo para actualizar las JWKS almacenadas en caché antes de que la nueva clave entre en vigor.

Después de que finaliza el período de gracia:

  • La nueva clave de firma privada pasa a ser Actual.
  • La antigua clave de firma se marca como Anterior.

Esto proporciona un proceso de rotación de claves más fluido y ayuda a evitar fallos de autenticación causados por cachés JWKS desactualizados.

Documentación: Rotar claves de firma

Manejo de errores de scripts JWT personalizados

Logto ahora admite el manejo de errores configurable para scripts JWT personalizados usados en los flujos de token de acceso y credenciales de cliente.

Cambios incluidos:

  • Los scripts JWT personalizados ahora pueden bloquear la emisión de tokens si la ejecución falla.
  • api.denyAccess() se mantiene como una respuesta access_denied.
  • Otros errores de scripts en modo bloqueo se devuelven como respuestas localizadas de invalid_request.
  • La Consola añade una pestaña dedicada de Manejo de errores para configurar el comportamiento.
  • Los scripts recién creados tienen blockIssuanceOnError activado por defecto.
  • Los scripts existentes sin valor guardado mantienen el comportamiento heredado (desactivado).
  • Se han actualizado las guías, frases, esquemas e integración relacionada en la Consola.

Esto ayuda a los desarrolladores a decidir si los fallos en la personalización de tokens deben fallar de forma abierta o cerrada según sus requisitos de seguridad.

Página de seguridad en el Centro de Cuentas

Esta versión añade una nueva página de seguridad al Centro de Cuentas estándar.

Los usuarios finales ahora pueden gestionar la seguridad de su cuenta desde /account/security, incluyendo:

  • Vinculación y desvinculación de cuentas sociales.
  • Verificación en dos pasos (MFA).
  • Eliminación de la cuenta.

Soporte de la Consola:

  • La configuración del Centro de Cuentas en la experiencia de inicio de sesión ahora expone el campo de URL para eliminar la cuenta.
  • La Consola muestra entradas predefinidas del Centro de Cuentas y de la interfaz social.

Conector de WhatsApp mediante API Meta Cloud

Se añade un nuevo conector de WhatsApp para enviar mensajes a través de la API Meta Cloud.

Esto habilita escenarios de entrega de SMS / códigos de verificación vía WhatsApp usando la integración oficial de Meta Cloud API.

Cuerpos de respuesta de la API de asignación de organizaciones

Las APIs de asignación de usuarios y roles de organización ahora devuelven cuerpos de respuesta.

Endpoints actualizados:

  • POST /organizations/:id/users ahora retorna { userIds: string[] }, reflejando los IDs de usuario enviados en la petición.
  • POST /organizations/:id/users/:userId/roles ahora retorna { organizationRoleIds: string[] }, que contiene los IDs finales de roles asignados al usuario, incluyendo los resultantes de los nombres de rol proporcionados.

Actualización de tokens de tema de la Consola

Los temas de la Consola ahora incluyen el token faltante --color-overlay-primary-subtle tanto para los modos claro como oscuro.

Corrección de errores y estabilidad

Protección contra enumeración en recuperación de contraseña

La verificación de recuperación de contraseña ahora devuelve un error unificado verification_code.code_mismatch.

Esto impide que el flujo exponga si existe o no un correo electrónico o número de teléfono por medio de diferentes respuestas de error.

Redirecciones sociales y SSO en navegadores dentro de apps

Mejora la fiabilidad de las redirecciones sociales y SSO en navegadores de aplicaciones como Instagram, Facebook y LINE.

Algunos navegadores integrados abren las páginas de los proveedores OAuth en una nueva WebView, lo que puede hacer que se pierda el sessionStorage tras la redirección de vuelta.

Esta versión añade una solución alternativa usando localStorage:

  • El estado de redirección sigue almacenándose en sessionStorage.
  • Un paquete de contexto de redirección alternativo también se almacena en localStorage.
  • Al volver, Logto restaura el estado desde localStorage si falta en sessionStorage.
  • Las entradas alternativas se consumen al leerlas y se eliminan automáticamente después de 10 minutos.
  • Si ambos almacenamientos están vacíos, el usuario ve una notificación de error.

IP de la petición en el conector del código de verificación

Corregido un error en el que la IP de la petición no se pasaba a los conectores al enviar códigos de verificación.

Esto permite que los conectores reciban el contexto correcto de la petición para la entrega del código de verificación.