Suomi
  • julkaisu

Logto-tuotepäivitykset

Logto v1.39.0 on täällä, tuoden turvallisemman allekirjoitusavainten kierron, älykkäämmän JWT-skriptivirheiden käsittelyn, laajennetut Tilikeskuksen turvallisuuskontrollit, WhatsApp-liittimen tuen ja avainturvallisuuden parannuksia.

Simeng
Simeng
Developer

Lopeta viikkojen tuhlaaminen käyttäjien tunnistautumiseen
Julkaise turvallisia sovelluksia nopeammin Logtolla. Integroi käyttäjien tunnistautuminen minuuteissa ja keskity ydintuotteeseesi.
Aloita
Product screenshot

Olemme innoissamme esitellä Logto v1.39.0:n, joka keskittyy vahvempaan operatiiviseen turvallisuuteen, joustavampaan tunnisteiden räätälöintiin ja parempaan loppukäyttäjän tiliturvallisuuteen. Tässä versiossa lisätään siirtymäaika yksityisen allekirjoitusavaimen kiertoon, konfiguroitava virheenkäsittely räätälöidyille JWT-skripteille, uusi Tilikeskuksen turvallisuussivu, WhatsApp-liittimen tuki Meta Cloud API:n kautta sekä useita turvallisuus- ja luotettavuusparannuksia todennusvirroissa.

Kohokohdat

  • Yksityisen allekirjoitusavaimen kierron siirtymäaika: Logto tukee nyt siirtymäaikaa kierrättäessä yksityistä allekirjoitusavainta, auttaen asiakkaita päivittämään JWKS-välimuistinsa ilman käyttökatkosta.
  • Räätälöity JWT-skriptivirheen käsittely: Pääsytunnisteen ja asiakastodistusten JWT-räätälöinti voi nyt estää tunnisteiden myöntämisen skriptin epäonnistuessa.
  • Tilikeskuksen turvallisuussivu: Loppukäyttäjät voivat nyt hallita sosiaalisten tilin liittämistä, MFA:ta ja tilin poistamista Tilikeskuksessa.
  • WhatsApp-liitin: Uusi WhatsApp SMS -liitin on saatavilla Meta Cloud API:n kautta.
  • Turvallisuus- ja yhteensopivuuskorjaukset: Unohtuneen salasanan tarkistuksen vastaukset ovat nyt yhtenäistettyjä tilien luetteluriskin pienentämiseksi, ja sovelluksen sisäisten selaimien sosiaali-/SSO-uudelleenohjaukset ovat entistä kestävämpiä.

Uudet ominaisuudet & parannukset

Yksityisen allekirjoitusavaimen kierron siirtymäaika

Logto tukee nyt siirtymäaikaa yksityisen allekirjoitusavaimen kierron aikana.

Tämä voidaan konfiguroida seuraavasti:

  • PRIVATE_KEY_ROTATION_GRACE_PERIOD -ympäristömuuttuja.
  • --gracePeriod CLI-vaihtoehto.

Siirtymäaikana:

  • Uusi allekirjoitusavain merkitään Seuraava.
  • Nykyinen avain pysyy aktiivisena tilassa Nykyinen.
  • Asiakkailla on aikaa päivittää JWKS-välimuisti ennen kuin uusi avain aktivoituu.

Siirtymäajan jälkeen:

  • Uusi yksityinen avain siirtyy tilaan Nykyinen.
  • Vanha avain merkitään Edellinen.

Tämä mahdollistaa sujuvamman avainkierron ja auttaa välttämään todennusvirheet vanhentuneiden JWKS-välimuistien vuoksi.

Dokumentaatio: Allekirjoitusavainten kierto

Räätälöity JWT-skriptivirheen käsittely

Logto tukee nyt konfiguroitavaa virheenkäsittelyä päästävän ja asiakastodistuksen mukautetun JWT-skriptin virhetapauksissa.

Mukaan lukien muutokset:

  • Räätälöidyt JWT-skriptit voivat estää tunnisteiden myöntämisen suoritusvirheen tapahtuessa.
  • api.denyAccess() säilytetään access_denied-vastauksena.
  • Muut estotilassa olevat skriptivirheet palauttavat lokalisoidun invalid_request-vastauksen.
  • Konsoliin lisätty oma Virheenkäsittely-välilehti toiminnan määrittelyyn.
  • Uudet skriptit oletuksena aktivoivat blockIssuanceOnError-asetuksen.
  • Olemassa olevat skriptit ilman tallennettua arvoa pitävät perinteisen poiskytketyn käytöksen.
  • Konsolin ohjeet, fraasit, skeemat ja integraatiot kattavat muutokset päivitetty.

Tämä auttaa kehittäjiä valitsemaan pitäisikö tunnisteiden räätälöinnin epäonnistua avoimeen vai suljettuun asentoon tietoturvavaatimusten mukaan.

Tilikeskuksen turvallisuussivu

Tämä julkaisu lisää uuden turvallisuussivun out-of-the-box Tilikeskukseen.

Loppukäyttäjät voivat nyt hallita tiliturvallisuutta osoitteessa /account/security, mukaan lukien:

  • Sosiaalitilien liittäminen ja irrottaminen.
  • MFA 2-vaiheinen vahvistus.
  • Tilin poisto.

Konsolituki:

  • Kirjautumiskokemuksen Tilikeskus-asetuksissa nyt mahdollisuus tilin poistamisen URL:n määrittelyyn.
  • Konsoli näyttää Tilikeskus- ja sosiaalisten valmis UI -kohdat.

WhatsApp-liitin Meta Cloud API:n kautta

Uusi WhatsApp-liitin lisätty viestien välittämiseksi Meta Cloud API:n kautta.

Tämä mahdollistaa WhatsApp-pohjaiset SMS-/vahvistuskoodien toimitusskenaariot virallisen Meta Cloud API -integraation avulla.

Organisaation määrityksen API:n vastausrungot

Organisaation käyttäjä- ja roolimäärittelyjen API:t palauttavat nyt vastausrungon.

Päivitetyt päätepisteet:

  • POST /organizations/:id/users palauttaa { userIds: string[] }, toistaen pyynnössä lähetetyt käyttäjätunnukset.
  • POST /organizations/:id/users/:userId/roles palauttaa { organizationRoleIds: string[] }, sisältäen lopulliset, deduplikoidut käyttäjän roolitunnukset sekä tunnistetut nimet.

Konsolin teeman tunnistepäivitys

Konsoliteemaan lisätty puuttuva --color-overlay-primary-subtle -tunniste sekä vaaleassa että tummassa tilassa.

Virhekorjaukset & vakaus

Unohtuneen salasanan tarkistuksen enumerointisuojaus

Unohtuneen salasanan tarkistus palauttaa nyt yhtenäisen verification_code.code_mismatch -virheen.

Tämä estää virran paljastamasta, onko sähköpostiosoite tai puhelinnumero olemassa eri virhevastauksista.

Sosiaalinen ja SSO-uudelleenohjaus sovelluksen sisäisissä selaimissa

Sosiaalisen ja SSO-uudelleenohjausten luotettavuutta parannettu sovelluksen sisäisissä selaimissa, kuten Instagram, Facebook ja LINE.

Jotkut sovelluksen sisäiset selaimet avaavat OAuth-identiteettipalveluiden sivut uuteen WebView:hen, jolloin sessionStorage voi kadota uudelleenohjauksen jälkeen.

Tämä julkaisu lisää localStorage-vararatkaisun:

  • Uudelleenohjaustila tallennetaan edelleen sessionStorage:aan.
  • Vararatkaisuna kontekstipaketti tallennetaan lisäksi localStorage:aan.
  • Paluu-callbackissa Logto palauttaa tilan localStorage-varastosta, jos sessionStorage puuttuu.
  • Varatallenne kulutetaan haettaessa ja siivotaan automaattisesti 10 minuutin kuluttua.
  • Jos molemmat sijainnit ovat tyhjiä, käyttäjä näkee virheilmoituksen.

Vahvistuskoodiliittimen pyyntöosoite

Korjattu ongelma, jossa pyyntöosoitetta ei välitetty liittimille vahvistuskoodeja lähetettäessä.

Tämä mahdollistaa liittimien vastaanottaa oikean pyynnön kontekstin vahvistuskoodin toimittamista varten.