Français
  • release

Mises à jour du produit Logto

Logto v1.38.0 est là. Cette version apporte la prise en charge de la subvention d'autorisation de dispositif OAuth 2.0, la connexion par passkey, le MFA adaptatif, la gestion des sessions et des autorisations, ainsi qu'une configuration OIDC plus flexible pour les déploiements OSS.

Charles
Charles
Developer

Arrêtez de perdre des semaines sur l'authentification des utilisateurs
Lancez des applications sécurisées plus rapidement avec Logto. Intégrez l'authentification des utilisateurs en quelques minutes et concentrez-vous sur votre produit principal.
Commencer
Product screenshot

Nous sommes ravis d'annoncer Logto v1.38.0, notre version de mars 2026 ! Cette mise à jour ajoute le flux de périphérique pour les applications à saisie limitée, introduit la connexion par passkey et apporte des améliorations au MFA adaptatif, tout en élargissant les contrôles de configuration des sessions, des autorisations et au niveau du locataire sur toute la plateforme Logto.

Flux de périphérique pour les applications à saisie limitée

L'une des plus grandes nouveautés de cette version est la prise en charge de la subvention d'autorisation de périphérique OAuth 2.0. Cela rend beaucoup plus facile la création de parcours d'authentification pour les appareils qui ne disposent pas d'un clavier complet ou d'une expérience navigateur, tels que les smart TV, outils CLI, consoles de jeu et dispositifs IoT.

Avec le flux de périphérique, les utilisateurs peuvent :

  • Démarrer la connexion sur l'appareil
  • Ouvrir une URL de vérification sur un autre appareil
  • Saisir un court code utilisateur
  • Finaliser l'authentification à cet endroit
  • Revenir sur l'appareil d'origine avec des jetons émis

Nous avons également ajouté une prise en charge complète du Console pour les applications de flux de périphérique. Vous pouvez désormais créer des applications de flux de périphérique en sélectionnant Application à saisie limitée / CLI sous Applications natives, ou en choisissant Flux de périphérique comme mode d'autorisation lors de la création manuelle d'une application. La page des paramètres de l'application inclut aussi un guide intégré et une démo pour vous aider à démarrer.

Connexion par passkey devient un flux de premier choix

Cette version introduit la connexion par passkey comme méthode d'authentification à part entière dans Logto.

La connexion par passkey offre une expérience plus rapide, sans mot de passe, pour les utilisateurs de retour tout en améliorant la sécurité du compte. Elle fonctionne avec des authentificateurs de plateforme connus tels que Face ID, Touch ID et Windows Hello.

Nous avons ajouté la prise en charge de plusieurs parcours utilisateur basés sur les passkeys :

  • Un bouton dédié Continuer avec passkey pour une connexion immédiate
  • Un flux d'identification d'abord qui privilégie la vérification par passkey avant de basculer vers le mot de passe ou le code de vérification
  • Une prise en charge de l'auto-remplissage du navigateur permettant à l'utilisateur de choisir une passkey enregistrée directement depuis le champ d'identification
  • L'association d'une passkey lors de l'inscription pour les nouveaux utilisateurs
  • La réutilisation d'un identifiant WebAuthn MFA existant pour la connexion par passkey sans étape d'enregistrement supplémentaire

Pour plus de détails, consultez notre documentation sur la connexion par passkey.

MFA adaptatif et meilleure assistance MFA

Cette version poursuit notre investissement dans des expériences MFA modernes avec deux améliorations majeures.

MFA adaptatif

Le MFA adaptatif est désormais pris en charge dans Logto. Lorsqu'il est activé, le flux de connexion évalue les règles de MFA adaptatif par rapport au contexte de connexion actuel et exige le MFA lorsque ces règles sont déclenchées.

Cela inclut également :

  • Configuration du MFA adaptatif dans le Console
  • Contexte de connexion persistant dans les données d'interaction
  • Accès à context.interaction.signInContext dans les scripts custom-claims
  • Un nouvel événement webhook PostSignInAdaptiveMfaTriggered

Onboarding MFA optionnel

Pour les utilisateurs qui ne sont pas obligés de configurer le MFA, Logto peut désormais afficher une page d'onboarding dédiée après la vérification des informations d'identification, leur demandant s'ils souhaitent activer le MFA pour une meilleure protection.

C'est particulièrement utile avec la connexion par passkey, où l'utilisateur peut vouloir utiliser les passkeys pour la connexion sans pour autant les activer comme facteur d'authentification MFA au même moment.

Gestion des sessions et des autorisations dans les API et le Console

Cette version ajoute un ensemble majeur de contrôles de compte et d'administration autour des sessions utilisateur et des applications autorisées.

Gestion des sessions utilisateur

Logto prend désormais en charge la gestion des sessions via les API de compte et de gestion. Vous pouvez lister les sessions actives, inspecter les détails d'une session et révoquer les sessions avec un comportement optionnel de révocation d'autorisation.

Nous avons également introduit :

  • Une nouvelle permission session dans les paramètres du Centre de compte avec les options off, readOnly et edit
  • Un nouveau scope utilisateur urn:logto:scope:sessions pour accéder à l'API de compte relative aux sessions
  • Un contexte de session enrichi incluant IP, agent utilisateur et géolocalisation quand c'est disponible

Côté Console, les détails de l'utilisateur incluent désormais une section Sessions actives et une page dédiée pour les détails de session avec un bouton de révocation.

Gestion des autorisations d'applications autorisées

Logto prend désormais en charge l'affichage et la révocation des autorisations d'applications des utilisateurs via les API de compte et de gestion.

Cette version ajoute aussi une section Applications tierces autorisées sur la page de détails de l'utilisateur dans le Console. Les administrateurs peuvent maintenant voir les autorisations actives de tierces parties, consulter les métadonnées telles que le nom de l'application et la date de création, et révoquer l'accès directement depuis l'interface.

Limites de périphériques concurrentes au niveau de l'application

Les applications peuvent maintenant définir une valeur maxAllowedGrants dans customClientMetadata pour limiter le nombre d'autorisations actives qu'un utilisateur peut conserver pour une application donnée. Une fois la limite dépassée, Logto révoque automatiquement les autorisations les plus anciennes.

Le Console inclut également une nouvelle section Limite de périphériques concurrents dans les détails de l'application, afin que cela puisse être configuré visuellement.

Davantage de contrôles OSS pour les paramètres OIDC

Pour les utilisateurs OSS, cette version rend les paramètres OIDC plus configurables et plus faciles à gérer.

Vous pouvez désormais définir oidc.session.ttl dans logto-config pour personnaliser la durée de vie de session du fournisseur OIDC en secondes. Si non défini, la valeur par défaut reste de 14 jours.

Nous avons aussi ajouté :

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

Côté Console, OSS bénéficie maintenant d'une nouvelle page Tenant -> Paramètres, avec un onglet Paramètres OIDC qui remplace l'ancienne page Clés de signature. La nouvelle page inclut également un champ Durée de vie maximale de session pour configurer la durée de vie de la session en jours.

Si vous utilisez OSS, n'oubliez pas de redémarrer le service après modification de la configuration afin que les nouveaux paramètres OIDC soient pris en compte. Si vous souhaitez que les mises à jour de la configuration soient prises en compte automatiquement, envisagez d'activer le cache Redis central.

Améliorations du Centre de compte

Le Centre de compte prêt à l'emploi bénéficie également de plusieurs améliorations utiles dans cette version.

Les utilisateurs peuvent maintenant :

  • Remplacer leur application d'authentification via une route dédiée /authenticator-app/replace
  • Utiliser le paramètre d'URL identifier pour pré-remplir les champs d'identification
  • Outrepasser la langue du Centre de compte intégré avec le paramètre d'URL ui_locales

Nous avons également amélioré les formulaires de mot de passe pour une meilleure compatibilité avec l'auto-remplissage du navigateur et les gestionnaires de mots de passe.

Améliorations des API axées développeur

Pour les équipes important des utilisateurs dans Logto, les endpoints GET /users et GET /users/:userId prennent désormais en charge un paramètre de requête includePasswordHash. Lorsqu'il est activé, la réponse inclut passwordDigest et passwordAlgorithm, utiles pour des flux de migration nécessitant les données de hashage de mot de passe brutes.

Nous avons également ajouté la prise en charge de l'échange de jetons d'accès dans les scénarios de délégation service-à-service. Logto peut désormais échanger des jetons d'accès opaques ou JWT contre de nouveaux jetons d'accès, avec des audiences différentes, en utilisant le type de jeton standard urn:ietf:params:oauth:token-type:access_token.

Corrections de bugs

Cette version comprend aussi plusieurs améliorations de stabilité et de compatibilité :

  • Les routes de vérification MFA pour TOTP, WebAuthn et les codes de secours signalent désormais l'activité à Sentinel, facilitant la détection et l'isolation des échecs répétés.
  • Les requêtes d'adaptateur OIDC pour findByUid et findByUserCode utilisent désormais des clés JSONB littérales pour permettre un meilleur fonctionnement des index d'expression dans les plans préparés génériques.
  • L'initialisation du pool Postgres retente désormais en cas d'erreurs de connexion transitoires au démarrage.
  • La vérification des mots de passe hérités prend désormais en charge les valeurs de sel PBKDF2 préfixées par hex: lors de l'importation d'utilisateurs.
  • Les performances d'échange de jetons sont améliorées grâce à la mise en cache des recherches de ressources OIDC minimales et à la pré-génération des identifiants d'autorisation lors de l'émission de jetons.
  • Le formatage To des SMS Twilio est maintenant normalisé pour les numéros non E.164 en ajoutant systématiquement un + en tête.

Changements majeurs (breaking changes)

Cette version inclut une modification majeure du toolkit de connecteurs.

L'exportation longtemps dépréciée mockSmsVerificationCodeFileName a été supprimée de @logto/connector-kit.

Nous avons également mis à jour les chemins de fichiers utilisés par les connecteurs mock pour stocker les journaux d'envoi de messages :

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Si vos flux de travail locaux ou basés sur Docker dépendaient des anciens chemins, il sera nécessaire de les mettre à jour.

Nouveaux contributeurs

Merci à nos nouveaux contributeurs d'avoir aidé à améliorer Logto :

Commencer

Prêt à mettre à jour ? Consultez notre guide de mise à niveau pour des instructions étape par étape.

Pour la liste complète des changements, voyez la page de publication GitHub.

Vous avez des questions ou des retours ? Rejoignez-nous sur Discord ou ouvrez une issue sur GitHub.