Italiano
  • rilascio

Aggiornamenti del prodotto Logto

Logto v1.39.0 è arrivato, portando una rotazione della chiave di firma più sicura, gestione più intelligente degli errori degli script JWT, controlli di sicurezza ampliati per il Centro Account, supporto al connettore WhatsApp e importanti miglioramenti alla sicurezza delle chiavi.

Simeng
Simeng
Developer

Smetti di sprecare settimane sull'autenticazione degli utenti
Lancia app sicure più velocemente con Logto. Integra l'autenticazione degli utenti in pochi minuti e concentrati sul tuo prodotto principale.
Inizia ora
Product screenshot

Siamo entusiasti di presentare Logto v1.39.0, una release incentrata su una maggiore sicurezza operativa, una personalizzazione dei token più flessibile e una migliore sicurezza degli account degli utenti finali. Questa versione introduce un periodo di grazia per la rotazione della chiave privata di firma, gestione configurabile degli errori per gli script JWT personalizzati, una nuova pagina di sicurezza nel Centro Account, supporto per connettore WhatsApp tramite API Meta Cloud e diversi miglioramenti di sicurezza e affidabilità nei flussi di autenticazione.

Punti salienti

  • Periodo di grazia per la rotazione della chiave privata di firma: Logto ora supporta un periodo di grazia durante la rotazione delle chiavi private di firma, consentendo ai client di aggiornare i JWKS in cache senza interruzioni.
  • Gestione errori script JWT personalizzati: La personalizzazione degli access token e dei JWT delle credenziali del client ora può bloccare l'emissione del token quando gli script falliscono.
  • Pagina sicurezza del Centro Account: Gli utenti finali ora possono gestire il collegamento agli account social, MFA e la cancellazione dell’account dal Centro Account.
  • Connettore WhatsApp: Un nuovo connettore WhatsApp SMS è disponibile tramite l’API Meta Cloud.
  • Correzioni di sicurezza e compatibilità: Le risposte di verifica "password dimenticata" ora sono unificate per ridurre il rischio di enumerazione degli account, e i redirect social / SSO tramite browser in-app sono più stabili.

Nuove funzionalità e miglioramenti

Periodo di grazia per la rotazione della chiave privata di firma

Logto ora supporta un periodo di grazia durante la rotazione delle chiavi private di firma.

Questo può essere configurato tramite:

  • La variabile d’ambiente PRIVATE_KEY_ROTATION_GRACE_PERIOD.
  • L’opzione CLI --gracePeriod.

Durante il periodo di grazia:

  • La nuova chiave di firma viene contrassegnata come Next.
  • La chiave di firma esistente rimane attiva come Current.
  • I client hanno tempo per aggiornare i JWKS in cache prima che la nuova chiave diventi attiva.

Dopo la fine del periodo di grazia:

  • La nuova chiave privata di firma passa a Current.
  • La vecchia chiave di firma viene contrassegnata come Previous.

Questo permette un processo di rotazione più fluido ed evita errori di autenticazione dovuti a cache JWKS obsolete.

Documentazione: Ruotare le chiavi di firma

Gestione errori script JWT personalizzati

Logto ora supporta una gestione degli errori configurabile per gli script JWT personalizzati usati nei flussi degli access token e delle credenziali del client.

Le modifiche incluse:

  • Gli script JWT personalizzati ora possono bloccare l’emissione del token quando l'esecuzione fallisce.
  • api.denyAccess() viene mantenuto come risposta access_denied.
  • Gli altri errori in modalità di blocco vengono restituiti come risposte invalid_request localizzate.
  • La Console aggiunge una scheda dedicata Gestione errori per configurare il comportamento.
  • Gli script creati di recente abilitano di default il blockIssuanceOnError.
  • Gli script esistenti senza valore salvato mantengono il comportamento legacy disabilitato.
  • Sono stati aggiornati guida, frasi, schemi e integrazioni correlate nella Console.

Questo aiuta gli sviluppatori a decidere se i fallimenti della personalizzazione dei token devono causare un errore aperto o chiuso, secondo le proprie esigenze di sicurezza.

Pagina sicurezza del Centro Account

Questa versione aggiunge una nuova pagina di sicurezza al Centro Account predefinito.

Gli utenti finali ora possono gestire la sicurezza dal percorso /account/security, tra cui:

  • Collegamento e scollegamento degli account social.
  • Verifica a 2 fattori (MFA).
  • Eliminazione dell’account.

Supporto in Console:

  • Le impostazioni di esperienza di accesso del Centro Account ora espongono il campo URL per la cancellazione account.
  • La Console mostra voci predefinite per UI Centro Account e social.

Connettore WhatsApp tramite API Meta Cloud

È stato aggiunto un nuovo connettore WhatsApp per l’invio di messaggi tramite l’API Meta Cloud.

Questo consente scenari di consegna SMS / codice di verifica tramite WhatsApp integrando ufficialmente l’API Meta Cloud.

Risposte API di assegnazione organizzazione

Le API per l’assegnazione di utenti e ruoli alle organizzazioni ora restituiscono un body di risposta.

Endpoint aggiornati:

  • POST /organizations/:id/users ora restituisce { userIds: string[] }, facendo eco agli ID utente inviati nella richiesta.
  • POST /organizations/:id/users/:userId/roles ora restituisce { organizationRoleIds: string[] }, contenente gli ID ruolo finali assegnati all’utente, inclusi ID risolti dai nomi ruolo forniti.

Aggiornamento token tema Console

I temi Console ora includono il token mancante --color-overlay-primary-subtle sia per modalità chiara che scura.

Correzioni di bug e stabilità

Protezione enumerazione verifica "password dimenticata"

La verifica "password dimenticata" ora restituisce un errore unificato verification_code.code_mismatch.

Ciò impedisce al flusso di rivelare se un’email o numero di telefono esistano tramite messaggi di errore diversi.

Redirect social e SSO nei browser in-app

Migliorata l’affidabilità dei redirect social e SSO nei browser in-app come Instagram, Facebook e LINE.

Alcuni browser in-app aprono le pagine degli identity provider OAuth in una nuova WebView, il che può portare alla perdita di sessionStorage dopo il redirect.

Questa versione aggiunge un fallback su localStorage:

  • Lo stato del redirect è ancora memorizzato in sessionStorage.
  • Un bundle di contesto di redirect fallback è memorizzato anche in localStorage.
  • Al callback, Logto ripristina lo stato da localStorage se manca sessionStorage.
  • Le voci di fallback vengono consumate alla lettura e automaticamente eliminate dopo 10 minuti.
  • Se entrambe le memorie sono vuote, l’utente vede un errore a toast.

IP richiesta connettore codice di verifica

Corretto un problema per cui l’indirizzo IP della richiesta non veniva passato ai connettori durante l’invio dei codici di verifica.

Ciò permette ai connettori di ricevere il contesto corretto della richiesta per la consegna dei codici di verifica.