Español
  • release

Actualizaciones del producto Logto

Logto v1.41.0 trae control de acceso a nivel de aplicación, políticas de expiración de contraseñas, grandes mejoras en el Centro de Cuenta, reglas configurables para nombres de usuario y códigos de verificación, entrega de mensajes más segura y una ronda de endurecimiento de protocolos/seguridad.

Sijie
Sijie
Developer

Deja de perder semanas en la autenticación de usuarios
Lanza aplicaciones seguras más rápido con Logto. Integra la autenticación de usuarios en minutos y concéntrate en tu producto principal.
Comenzar
Product screenshot

Logto v1.41.0 es una versión centrada en el control y la seguridad. Permite a los equipos decidir con más precisión quién puede acceder a cada aplicación, con controles más completos sobre el ciclo de vida de las contraseñas y un Centro de Cuenta mucho más capaz para los usuarios finales. También refuerza la entrega de códigos de verificación, las reglas de nombres de usuario, el manejo de SAML/OIDC, la protección contra reproducción MFA y las rutas de actualización para autoalojados. Esto es lo nuevo.

Control de acceso a nivel de aplicación

Ahora puedes restringir el acceso a una aplicación directamente desde Logto. Las reglas de acceso pueden dirigirse a usuarios específicos, roles de usuario, organizaciones o roles de organizaciones.

Cuando un usuario no coincide con el conjunto de reglas configurado, Logto bloquea el inicio de sesión o el flujo de acceso a la aplicación con una página de denegación de acceso en lugar de dejar que la solicitud continúe. Esto facilita la implementación de aplicaciones, el acceso específico para clientes, la protección de herramientas internas y el acceso por organización, todo sin trasladar la decisión completa a tu código de aplicación.

Consulta la documentación de control de acceso a nivel de aplicación para conocer el flujo de configuración completo.

Políticas de expiración de contraseñas

La consola ahora permite la expiración de contraseñas a nivel de tenant en Seguridad > Política de contraseñas.

Los administradores pueden habilitar la expiración de contraseñas, configurar cuántos días es válida una contraseña y expirar manualmente la contraseña de un usuario específico desde la página de detalles del usuario. Cuando una contraseña expira, el usuario debe restablecerla mediante el método de recuperación configurado antes de poder iniciar sesión con contraseña.

Los inicios de sesión SSO y con passkey no se ven afectados. Los usuarios existentes sin una marca de tiempo de cambio de contraseña registrada son gestionados cuidadosamente: Logto los ancla al momento en que se activa la política, para que disfruten del periodo completo de validez en lugar de expirarles inmediatamente.

El Centro de Cuenta recibe más controles de autoservicio

El Centro de Cuenta sigue creciendo como una superficie de autoservicio de identidad completa para los usuarios finales.

Esta versión agrega gestión de sesiones, revisión de aplicaciones de terceros conectadas, gestión de perfil, carga de avatar, carga de avatar durante el registro para completar perfil, controles independientes para passkey y una preferencia para el usuario sobre los avisos de inicio de sesión con passkey.

La página de perfil del Centro de Cuenta, los campos personalizados de perfil en el registro y los endpoints de carga de avatar ahora están fuera de las puertas de funciones de desarrollo.

También se resolvieron algunos problemas importantes aquí:

  • El tema, la plataforma y el color de marca se aplican antes de la hidratación para reducir el flash visual.
  • La verificación avanzada se limita a registros de permisos de usuario.
  • Las identidades sociales pueden vincularse sin verificación de contraseña, correo o teléfono cuando el usuario no tiene métodos de verificación heredados.
  • La edición de nombre de usuario en la consola ahora redirige al Centro de Cuenta para poder completar la verificación requerida.

Políticas de nombre de usuario y código de verificación

Ahora las reglas de nombre de usuario a nivel de tenant son configurables desde Consola > Experiencia de inicio de sesión > Registro e inicio de sesión > Opciones avanzadas.

La política cubre sensibilidad a mayúsculas, límites de longitud y tipos de caracteres permitidos. Se refuerza en todas las escrituras de nombre de usuario de usuario final, incluido el registro, el cumplimiento de perfil, el Centro de Cuenta, la API de Cuenta y /me.

El cambio a nombres de usuario sin sensibilidad de mayúsculas está protegido: Logto verifica si existen nombres de usuario que difieran solo en mayúsculas/minúsculas y bloquea el cambio de política hasta que se resuelvan los conflictos. Ahora, la reclamación OIDC preferred_username también usará como reserva el username del usuario cuando profile.preferredUsername no esté establecido.

Los controles de código de verificación también se mueven a la configuración de seguridad de la consola. Los administradores pueden configurar la duración de expiración del código de verificación y el número máximo de intentos de reintento.

Entrega de mensajes más segura

Logto ahora aplica un límite de tasa de envío a nivel sistema por destinatario para la verificación de email/SMS y rutas de envío de invitación, incluyendo Experience, MFA, API de Cuenta, API de Administración, /me, invitaciones de organizaciones y la API de interacción heredada.

Cuando se limita un envío, Logto emite un evento webhook Message.RateLimited, que ahora se puede seleccionar en la configuración de webhooks de la consola.

La entrega de códigos de verificación a destinatarios desconocidos también se suprime cuando el registro está deshabilitado, reduciendo el riesgo de enumeración de cuentas.

Personalizador de JWT y mejoras en la API

Para los tokens de recursos de API de organización, el personalizador JWT del token de acceso ahora recibe context.organization con los campos id, name, description y customData de la organización objetivo.

Esto facilita agregar claims por organización sin insertar todos los mapeos de organizaciones en cada token.

También se han añadido algunas mejoras en la API:

  • POST /api/applications/:applicationId/roles ahora es idempotente. Los ID de roles existentes son ignorados en lugar de devolver 422 application.role_exists.
  • El endpoint ahora retorna 201 con { roleIds, addedRoleIds }, igualando el esquema de la API de asignación de roles de usuario.
  • La creación de roles de organización con scopes iniciales ahora es transaccional, así que los IDs de scopes inválidos ya no dejan roles parcialmente creados.

Endurecimiento de seguridad y protocolos

Esta versión incluye un conjunto enfocado de correcciones de protocolo y seguridad:

  • Los formularios autoenviados del IdP SAML ahora escapan los valores de atributos HTML y rechazan URLs de acción que no sean HTTP(S).
  • samlify se ha actualizado a ^2.13.0 para mejorar el escape de XML en las aserciones SAML generadas.
  • La verificación TOTP MFA rechaza códigos reutilizados del mismo o de un paso de tiempo anterior.
  • Los cuerpos de solicitud OIDC que contienen bytes nulos ahora devuelven 400 invalid_request.
  • Las cargas útiles del registro de auditoría eliminan bytes nulos antes de la inserción.
  • Las comprobaciones de la lista de bloqueo de subadresado de email ya no crean expresiones regulares a partir de entrada controlada por el usuario.
  • Logto Tunnel evita que las solicitudes de archivos estáticos lean fuera de la ruta de experiencia configurada.

También se incluyen correcciones de compatibilidad y almacenamiento: Safari antiguo y iOS 15 ya no fallan al iniciar debido a la sintaxis no soportada de lookbehind en regex, los conectores empresariales de OIDC pueden obtener la configuración de descubrimiento de proveedores que rechazan negociación de respuesta solo JSON y los fallos de transporte de assets de UI personalizados en Azure Blob ahora se traducen en errores de descarga que se pueden reintentar.

Conectores nuevos y mejorados

Esta versión suma y mejora varias capacidades relacionadas con conectores:

  • Nuevo conector de email SMTP2GO para enviar emails de autenticación transaccional usando la API de envío SMTP2GO.
  • Soporte para conexión QQ para verificación de identidad social con URI de redirección almacenada.
  • Actualización de conector SAML para samlify y sus tipos de retorno más estrictos.
  • El Kit de Conectores ahora exporta utilidades compartidas para analizar y formatear buzones SMTP, también usadas por MailJunky.

Para usuarios autoalojados

Se requiere una migración de base de datos para v1.41.0. Esta versión incluye alteraciones de esquema para expiración de contraseñas, política de nombre de usuario, política de código de verificación, índices centinela de tasa de mensajes, valores predeterminados de Centro de Cuenta e índices de registro de servicio.

Después de actualizar, ejecuta el comando de alteración de base de datos antes de iniciar la nueva versión. Consulta la guía de actualización para los detalles.

La variable de entorno CASE_SENSITIVE_USERNAME ahora está obsoleta. Sigue funcionando como sobrescritura en tiempo de ejecución, pero la sensibilidad de mayúsculas de los nombres de usuario debe configurarse por tenant mediante la nueva política de nombre de usuario. La variable de entorno está programada para su eliminación en la próxima versión mayor.

Comienza ahora

¿Listo para actualizar? Consulta la guía de actualización para instrucciones paso a paso.

Para la lista completa de cambios, visita la página de lanzamientos en GitHub.

¿Tienes preguntas o comentarios? Únete a nuestro Discord o abre un issue en GitHub.