Mises à jour du produit Logto

Logto v1.36 est arrivé. Cette version apporte la prise en charge des URI de redirection avec joker, le contrôle de l'échange de jeton au niveau de l'application et la possibilité de faire confiance aux e-mails non vérifiés dans les connecteurs OIDC.

URI de redirection avec joker#

Grâce au contributeur de la communauté @Arochka, il est maintenant possible d'utiliser des motifs avec joker (*) dans les URI de redirection. Cela est particulièrement utile pour les environnements dynamiques comme les déploiements de prévisualisation où les URL sont générées à la volée.

Règles pour les applications web :

• Les jokers fonctionnent dans le nom d’hôte et le chemin des URI http/https
• Les jokers ne sont pas autorisés dans le schéma, le port, la requête ou le hash
• Les motifs de nom d’hôte doivent inclure au moins un point pour éviter les correspondances trop larges

Échange de jetons avec contrôle au niveau de l’application#

L’échange de jetons est maintenant disponible pour les applications machine-à-machine, et tu as un contrôle précis sur quelles applications peuvent l'utiliser.

• Nouveau paramètre allowTokenExchange dans la configuration de l'application
• Les nouvelles applications ont l'échange de jeton désactivé par défaut
• Les applications de première partie existantes (Traditionnelle, Native, SPA) le gardent activé pour la compatibilité ascendante
• Les applications tierces ne peuvent pas utiliser l’échange de jetons
• La Console affiche un avertissement de risque lors de l’activation pour les clients publics

Faire confiance aux e-mails non vérifiés pour les connecteurs OIDC#

Certains fournisseurs d'identité ne renvoient pas email_verified ou le renvoient comme false même lorsque l’e-mail est valide. Tu peux désormais configurer les connecteurs sociaux OIDC et les connecteurs SSO d’entreprise pour synchroniser les e-mails,
peu importe le statut de vérification.

Active trustUnverifiedEmail dans ta configuration de connecteur (par défaut à false). Cette option est disponible dans la Console Admin pour les connecteurs OIDC et Azure AD SSO.

Passer la collecte d’identifiant pour la connexion sociale#

Les directives de l’App Store d’Apple exigent que « Se connecter avec Apple » ne demande pas d’informations supplémentaires au-delà de ce qu’Apple fournit. Pour t’aider, nous avons ajouté une nouvelle option pour passer la collecte obligatoire d’identifiant
lors de la connexion sociale.

Trouve la case à cocher « Exiger que les utilisateurs fournissent un identifiant manquant à l’inscription » dans la section Connexion sociale de tes paramètres d’expérience de connexion.

Améliorations de l’API#

Les API de rôles d’utilisateur renvoient désormais des résultats

• POST /users/:userId/roles renvoie { roleIds, addedRoleIds } indiquant quels rôles ont été nouvellement attribués
• PUT /users/:userId/roles renvoie { roleIds } confirmant l’état final

Nouvelle fonction createApiClient dans @logto/api

Crée un client API type-safe avec ta propre logique de récupération de jeton pour des flux d’authentification personnalisés.

Corrections de bugs#

• Timeout Postgres : Définis DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT pour la compatibilité PgBouncer/RDS Proxy
• Erreur SSO entreprise : Correction du code d’erreur lorsque le compte SSO n’existe pas
• Domaines d’e-mail JIT : Suppression de la limite de pagination pour afficher tous les domaines dans la Console
• Connexion directe : Correction des demandes de connexion automatique répétées
• Filtres du journal d’audit : Correction de fautes de frappe causant des résultats de filtre vides