Actualizaciones de productos de Logto

¡Estamos emocionados de anunciar Logto v1.38.0, nuestra versión de marzo de 2026! Esta actualización añade el flujo de dispositivos para aplicaciones con entrada limitada, introduce el inicio de sesión con passkey y mejoras en MFA adaptativo, y expande los controles de configuración de sesiones, concesiones y nivel de inquilino en todo Logto.

Flujo de dispositivo para aplicaciones con entrada limitada#

Una de las mayores incorporaciones en esta versión es el soporte para el flujo de autorización de dispositivo de OAuth 2.0. Esto facilita mucho la creación de flujos de autenticación para dispositivos que no tienen teclado completo ni experiencia de navegador, como televisores inteligentes, herramientas CLI, consolas de juegos y dispositivos IoT.

Con el flujo de dispositivo, los usuarios pueden:

• Iniciar sesión en el propio dispositivo
• Abrir una URL de verificación en otro dispositivo
• Introducir un código de usuario corto
• Completar la autenticación allí
• Volver al dispositivo original con los tokens emitidos

También añadimos soporte completo en la Consola para aplicaciones de flujo de dispositivo. Ahora puedes crear apps de flujo de dispositivo seleccionando App de entrada limitada / CLI bajo Apps nativas, o eligiendo Flujo de dispositivo como el flujo de autorización al crear una app manualmente. La página de configuración de la aplicación también incluye una guía integrada y una demo para ayudarte a empezar.

El inicio de sesión con passkey se convierte en un flujo de primera clase#

Esta versión introduce el inicio de sesión con passkey como un método de autenticación completo en Logto.

El inicio de sesión con passkey proporciona una experiencia más rápida y sin contraseñas para los usuarios recurrentes y también mejora la seguridad de la cuenta. Funciona con autenticadores familiares de la plataforma como Face ID, Touch ID y Windows Hello.

Añadimos soporte para varios recorridos de usuario basados en passkey:

• Un botón dedicado Continuar con passkey para iniciar sesión de inmediato
• Un flujo primero identificador que prioriza la verificación de passkey antes de recurrir a contraseña o código de verificación
• Soporte de autocompletado en navegador para que los usuarios puedan elegir una passkey guardada directamente desde el campo de identificador
• Enlace de passkey durante el registro para nuevos usuarios
• Reutilización de una credencial MFA WebAuthn existente para el inicio de sesión con passkey sin necesidad de otro registro

Para más detalles, consulta nuestra documentación de inicio de sesión con passkey.

MFA adaptativo y mejor orientación MFA#

Esta versión continúa nuestra inversión en experiencias modernas de MFA con dos grandes mejoras.

MFA adaptativo#

Ahora Logto soporta MFA adaptativo. Cuando está habilitado, el flujo de inicio de sesión evalúa las reglas de MFA adaptativo contra el contexto de inicio de sesión actual y requiere MFA cuando se activan esas reglas.

Esto también incluye:

• Configuración de MFA adaptativo en la Consola
• Contexto de inicio de sesión persistente en los datos de interacción
• Acceso a context.interaction.signInContext en scripts de claims personalizados
• Un nuevo evento webhook PostSignInAdaptiveMfaTriggered

Onboarding MFA opcional#

Para los usuarios que no están obligados a configurar MFA, Logto ahora puede mostrar una página de onboarding dedicada después de la verificación de credenciales, preguntando si desean activar MFA para una mejor protección.

Esto es especialmente útil junto con el inicio de sesión con passkey, donde un usuario puede querer usar passkeys para iniciar sesión sin necesariamente activarlas como factor MFA al mismo tiempo.

Gestión de sesiones y concesiones en APIs y Consola#

Esta versión añade un importante conjunto de controles de cuenta y administración alrededor de las sesiones de usuario y aplicaciones autorizadas.

Gestión de sesión de usuario#

Ahora Logto soporta la gestión de sesiones tanto en las APIs de cuenta como en las APIs de administración. Puedes listar sesiones activas, inspeccionar detalles de sesión y revocar sesiones con un comportamiento opcional de revocación de concesión.

También presentamos:

• Un nuevo permiso session en la configuración del Centro de Cuenta con opciones off, readOnly y edit
• Un nuevo scope de usuario urn:logto:scope:sessions para acceso a la API de cuenta relacionado con sesiones
• Contexto de sesión más completo, incluyendo IP, user agent y localización GEO cuando está disponible

En la Consola, los detalles de usuario ahora incluyen una sección de Sesiones activas y una página dedicada a detalles de sesión con soporte para revocar.

Gestión de concesiones de aplicaciones autorizadas#

Ahora Logto permite listar y revocar concesiones de aplicaciones de usuario tanto en la API de cuenta como en la API de administración.

Esta versión también añade una sección de Apps de terceros autorizadas en la página de detalles de usuario en la Consola. Los administradores pueden ver autorizaciones de terceros activas, revisar metadatos como nombre de la app y tiempo de creación, y revocar el acceso directamente desde la interfaz.

Límites concurrentes de dispositivos a nivel de app#

Ahora las aplicaciones pueden definir un valor maxAllowedGrants en customClientMetadata para limitar cuántas concesiones activas puede mantener un usuario para una app específica. Una vez superado el límite configurado, Logto revoca automáticamente las concesiones más antiguas.

La Consola también incluye una nueva sección Límite concurrente de dispositivos en los detalles de la aplicación para configurar esto visualmente.

Más controles OSS para configuración OIDC#

Para los usuarios OSS, esta versión hace la configuración de OIDC más flexible y fácil de gestionar.

Ahora puedes definir oidc.session.ttl en logto-config para personalizar el TTL de sesión del proveedor OIDC en segundos. Si no se configura, el valor predeterminado sigue siendo 14 días.

También añadimos:

• GET /api/configs/oidc/session
• PATCH /api/configs/oidc/session

En la Consola, OSS ahora tiene una nueva página Tenant -> Configuración, con una pestaña Configuración OIDC que reemplaza la antigua página de claves de firma. La nueva página también incluye un campo Tiempo máximo de vida de sesión para configurar el TTL de la sesión en días.

Si ejecutas OSS, recuerda reiniciar el servicio después de los cambios de configuración para que se carguen los nuevos ajustes de OIDC. Si quieres que las actualizaciones de configuración surtan efecto automáticamente, considera habilitar la cache central de Redis.

Mejoras en el Centro de Cuenta#

El Centro de Cuenta preconfigurado también recibe varias mejoras útiles en esta versión.

Ahora los usuarios pueden:

• Sustituir su app de autenticación mediante la ruta dedicada /authenticator-app/replace
• Usar el parámetro URL identifier para pre-completar los campos de identificación
• Sobreescribir el idioma incorporado del Centro de Cuenta con el parámetro URL ui_locales

También mejoramos los formularios de contraseña para una mejor compatibilidad con el autocompletado del navegador y los gestores de contraseñas.

Mejoras en las APIs para desarrolladores#

Para los equipos que migran usuarios a Logto, los endpoints GET /users y GET /users/:userId ahora soportan un parámetro de consulta includePasswordHash. Cuando está habilitado, la respuesta incluye passwordDigest y passwordAlgorithm, lo que puede ayudar con flujos de migración que necesiten datos de hash de contraseña en crudo.

También añadimos soporte para el intercambio de tokens de acceso en escenarios de delegación entre servicios. Ahora Logto puede intercambiar tokens de acceso opacos o JWT por nuevos tokens de acceso con diferentes audiencias usando el tipo estándar de token urn:ietf:params:oauth:token-type:access_token.

Corrección de errores#

Esta versión también incluye varias mejoras de estabilidad y compatibilidad:

• Las rutas de verificación MFA para TOTP, WebAuthn y códigos de respaldo ahora reportan actividad a Sentinel, facilitando la detección e identificación de fallas repetidas.
• Las consultas del adaptador OIDC para findByUid y findByUserCode ahora usan claves JSONB literales para que los índices de expresión funcionen mejor bajo planes genéricos preparados.
• La inicialización del pool de Postgres ahora reintenta en caso de errores transitorios de conexión al inicio.
• La verificación de contraseña legacy ahora soporta valores de sal PBKDF2 prefijados con hex: durante la importación de usuarios.
• El rendimiento del intercambio de token se mejora almacenando en caché búsquedas mínimas de recursos OIDC y pre-generando IDs de concesión durante la emisión de tokens.
• El formato To de Twilio SMS ahora se normaliza para números que no son E.164, asegurando un + inicial.

Cambios disruptivos#

Esta versión incluye un cambio disruptivo en el toolkit de conectores.

La exportación obsoleta desde hace tiempo mockSmsVerificationCodeFileName ha sido eliminada de @logto/connector-kit.

También actualizamos las rutas de archivos utilizados por los conectores mock para almacenar los registros de mensajes enviados:

• /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
• /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Si tus flujos de trabajo locales o basados en Docker dependen de las rutas antiguas, será necesario actualizarlas.

Nuevos contribuyentes#

Gracias a nuestros nuevos contribuyentes por ayudar a mejorar Logto:

• @taka-guevara realizó su primera contribución en #8555
• @synchrone realizó su primera contribución en #8504
• @ppotaczek y @leoshusar realizaron su primera contribución en #8526

Empieza ahora#

¿Listo para actualizar? Consulta nuestra guía de actualización para instrucciones paso a paso.

Para la lista completa de cambios, visita la página de versiones de GitHub.

¿Tienes preguntas o comentarios? Únete a nosotros en Discord o abre una incidencia en GitHub.