Italiano
  • rilascio

Aggiornamenti del prodotto Logto

Logto v1.36 introduce il supporto per URI di reindirizzamento con caratteri jolly per i deployment di anteprima, il controllo dello scambio di token a livello di applicazione, l'opzione per fidarsi di email non verificate per i connettori OIDC, e la possibilità di saltare la raccolta degli identificatori per l'accesso tramite social.

Sijie
Sijie
Developer

Smetti di sprecare settimane sull'autenticazione degli utenti
Lancia app sicure più velocemente con Logto. Integra l'autenticazione degli utenti in pochi minuti e concentrati sul tuo prodotto principale.
Inizia ora
Product screenshot

Logto v1.36 è arrivato. Questa versione porta il supporto per URI di reindirizzamento con caratteri jolly, il controllo dello scambio di token a livello di applicazione e la possibilità di fidarsi di email non verificate nei connettori OIDC.

URI di reindirizzamento con caratteri jolly

Grazie al contributo della community di @Arochka, ora puoi utilizzare pattern con caratteri jolly (*) negli URI di reindirizzamento. Questo è particolarmente utile per ambienti dinamici come i deployment di anteprima dove gli URL vengono generati al volo.

Regole per le applicazioni web:

  • I caratteri jolly funzionano nel nome host e nel percorso degli URI http/https
  • I caratteri jolly non sono consentiti in schema, porta, query o hash
  • I pattern del nome host devono includere almeno un punto per evitare corrispondenze troppo ampie

Scambio di token con controllo a livello di app

Lo scambio di token è ora disponibile per le applicazioni machine-to-machine, e hai il controllo dettagliato su quali app possono utilizzarlo.

  • Nuova impostazione allowTokenExchange nella configurazione dell'applicazione
  • Le nuove app hanno lo scambio di token disabilitato per impostazione predefinita
  • Le app di prima parte esistenti (Tradizionale, Nativa, SPA) lo mantengono abilitato per retrocompatibilità
  • Le app di terze parti non possono utilizzare lo scambio di token
  • La Console mostra un avviso di rischio quando viene abilitato per i client pubblici

Fidati delle email non verificate per i connettori OIDC

Alcuni provider di identità non restituiscono email_verified o la restituiscono come false anche quando la email è valida. Ora puoi configurare i connettori social OIDC e SSO aziendali per sincronizzare le email indipendentemente dallo stato di verifica.

Abilita trustUnverifiedEmail nella configurazione del tuo connettore (l'impostazione predefinita è false). Questa opzione è disponibile nella Console Amministratore per i connettori OIDC e SSO di Azure AD.

Salta la raccolta degli identificatori per l'accesso social

Le linee guida dell'Apple App Store richiedono che "Accedi con Apple" non chieda informazioni aggiuntive oltre a quelle fornite da Apple. Per supportarlo, abbiamo aggiunto una nuova opzione per saltare la raccolta obbligatoria degli identificatori durante l'accesso social.

Trova la checkbox "Richiedi agli utenti di fornire l'identificatore di iscrizione mancante" nella sezione Accesso social delle impostazioni dell'esperienza di login.

Migliorie alle API

Le API dei ruoli utente ora restituiscono risultati

  • POST /users/:userId/roles restituisce { roleIds, addedRoleIds } mostrando quali ruoli sono stati assegnati di recente
  • PUT /users/:userId/roles restituisce { roleIds } confermando lo stato finale

Nuova funzione createApiClient in @logto/api

Crea un client API type-safe con la tua logica di recupero del token personalizzata per flussi di autenticazione custom.

Correzioni di bug

  • Timeout Postgres: Imposta DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT per la compatibilità con PgBouncer/RDS Proxy
  • Errore SSO aziendale: Corretto il codice di errore quando l'account SSO non esiste
  • Domini email JIT: Rimosso il limite di paginazione così tutti i domini sono visibili nella Console
  • Accesso diretto: Corrette richieste di accesso automatico ripetute
  • Filtri log di audit: Corrette le imprecisioni che causavano risultati vuoti nei filtri