• release
  • WebAuthn
  • Passkey
  • jwt

Mises à jour du produit Logto

🎉 Présentation de notre version de juin : API de compte pour Passkeys, accès aux détails d'interaction utilisateur dans le JWT personnalisé et bien plus encore !

Sijie
Sijie
Developer

Arrêtez de perdre des semaines sur l'authentification des utilisateurs
Lancez des applications sécurisées plus rapidement avec Logto. Intégrez l'authentification des utilisateurs en quelques minutes et concentrez-vous sur votre produit principal.
Commencer
Product screenshot

API de compte pour WebAuthn (passkeys)

Vous pouvez maintenant gérer les passkeys WebAuthn via l'API de compte, y compris :

  1. Lier une passkey WebAuthn au compte de l'utilisateur via votre site web.
  2. Gérer les passkeys dans le compte de l'utilisateur.

Nous avons mis en œuvre les Requêtes Origine Connexe afin que vous puissiez gérer les passkeys WebAuthn sur votre site web ayant un domaine différent de celui de la page de connexion Logto.

Pour en savoir plus, consultez la documentation.

Accéder aux détails d'interaction utilisateur dans le JWT personnalisé

Les données d'interaction utilisateur sont désormais accessibles via context.interaction lors de la génération des revendications de jeton personnalisées :

PropriétéDescriptionType
interactionEventL'événement d'interaction de l'utilisateur actuelSignIn ou Register
userIdL'identifiant utilisateur de l'interaction actuellestring
verificationRecordsUne liste des enregistrements de vérification transmis par l'utilisateur pour identifier et vérifier son identité lors des interactions.VerificationRecord[]

Cas d'utilisation exemple :

Lire les enregistrements de vérification depuis le contexte d'interaction. Si un enregistrement de vérification SSO d'entreprise est présent, inclure le profil utilisateur correspondant depuis les identités SSO d'entreprise en tant que revendications supplémentaires du jeton.

Voir contexte des revendications personnalisées du jeton pour plus de détails.

Améliorations

  • Mise à jour du suivi des horodatages pour SSO : ajout du champ updated_at à la table user_sso_identities
  • Modifié la longueur du résumé du mot de passe utilisateur à 256, supportant les algorithmes de hachage Legacy comme SHA512
  • Masqué le secret TOTP dans le journal d'audit
  • Support de la taille flexible dans le widget Turnstile, permettant au widget de s'adapter de manière réactive et d'occuper tout l'espace disponible.

Corrections de bugs

  • Correction de l'API de rappel d'application SAML pour gérer correctement le paramètre RelayState dans les réponses d'authentification
  • Rendu le access_token optionnel pour le connecteur Azure OIDC SSO ; auparavant, le connecteur Azure OIDC exigeait strictement un access token dans la réponse, ce qui posait problème avec les applications Azure B2C qui ne retournent que des jetons d'identité.
  • Correction de potentielles erreurs d'enregistrement WebAuthn en spécifiant le displayName. Par exemple, lors de l'utilisation de Chrome sur Windows 11 avec l'option "Utiliser d'autres appareils" (scannage de code QR), un displayName vide provoquait l'échec de l'enregistrement.
  • Correction d'un problème empêchant la page de paiement de s'ouvrir dans Safari sur iOS.