Italiano
  • release

Aggiornamenti del prodotto Logto

Logto v1.41.0 introduce il controllo degli accessi a livello di applicazione, politiche di scadenza della password, importanti aggiornamenti dell'Account Center, regole configurabili per nome utente e codice di verifica, consegna dei messaggi più sicura e una serie di rafforzamenti dei protocolli e della sicurezza.

Sijie
Sijie
Developer

Smetti di sprecare settimane sull'autenticazione degli utenti
Lancia app sicure più velocemente con Logto. Integra l'autenticazione degli utenti in pochi minuti e concentrati sul tuo prodotto principale.
Inizia ora
Product screenshot

Logto v1.41.0 è una release focalizzata su controllo e sicurezza. Offre ai team modi più raffinati per decidere chi può accedere a ciascuna app, controlli più completi sul ciclo di vita delle password e un Account Center molto più avanzato per gli utenti finali. Rafforza inoltre la consegna dei codici di verifica, le regole per i nomi utente, la gestione SAML/OIDC, la protezione contro la ripetizione dell'MFA e i percorsi di aggiornamento per l'auto-ospitato. Ecco le novità.

Controllo accessi a livello di applicazione

Ora puoi limitare l'accesso a un'applicazione direttamente da Logto. Le regole di accesso possono essere indirizzate a utenti specifici, ruoli utente, organizzazioni o ruoli organizzativi.

Quando un utente non corrisponde all'insieme di regole configurate, Logto blocca il flusso di accesso o registrazione all'app mostrando una pagina "accesso negato" invece di lasciar proseguire la richiesta. Questo semplifica la distribuzione dell'app, l'accesso specifico per cliente, la protezione di strumenti interni e l'accesso con ambito organizzativo, senza dover demandare la decisione completa al codice della tua applicazione.

Consulta la documentazione sul controllo accessi a livello di applicazione per il flusso completo di configurazione.

Politiche di scadenza della password

La Console ora supporta la scadenza password a livello di tenant sotto Sicurezza > Politica password.

Gli amministratori possono abilitare la scadenza della password, configurare quanti giorni una password rimane valida e scadere manualmente la password di un utente specifico dalla pagina dettagli utente. Quando una password scade, l'utente deve reimpostarla tramite il metodo di recupero configurato prima che il login con password possa continuare.

Gli accessi SSO e passkey non sono influenzati. Gli utenti esistenti senza un timestamp di cambio password registrato sono gestiti correttamente: Logto ancora la loro validità al momento dell'attivazione della politica, così ricevono il periodo di validità completo invece di essere scaduti immediatamente.

Account Center: più controlli self-service

Account Center continua a crescere, diventando una superficie completa self-service per l'identità degli utenti finali.

Questa versione aggiunge gestione delle sessioni, revisione dell'applicazione di terze parti connesse, gestione del profilo, caricamento avatar, caricamento avatar durante la registrazione collect-profile, controlli indipendenti per passkey e una preferenza lato utente per i prompt di login con passkey.

La pagina profilo dell'Account Center, i campi personalizzati del profilo in fase di registrazione e gli endpoint di caricamento avatar sono ora disponibili fuori dalle feature gate di sviluppo.

Sono stati risolti anche alcuni problemi importanti:

  • Tema, piattaforma e colore del brand vengono applicati prima della hydration per ridurre lampeggiamenti visivi.
  • La verifica aumentata è limitata ai record di verifica dei permessi utente.
  • Le identità social possono essere collegate senza verifica di password, email o telefono quando l'utente non possiede metodi legacy di verifica sicurezza.
  • La modifica del nome utente in console ora reindirizza ad Account Center per completare la verifica richiesta.

Politiche su nome utente e codice di verifica

Le regole sui nomi utente a livello di tenant sono ora configurabili sotto Console > Esperienza di login > Registrazione e login > Opzioni avanzate.

La politica copre la sensibilità alle maiuscole, limiti di lunghezza e tipi di caratteri ammessi. Viene applicata ad ogni modifica dell'username dell'utente finale, incluso registrazione, completamento profilo, Account Center, API Account e /me.

Il passaggio a nomi utente non sensibili alle maiuscole è protetto: Logto verifica la presenza di nomi che differiscono solo per maiuscole e blocca la modifica delle regole fino a che i conflitti non sono risolti. Il claim OIDC preferred_username ora ripiega su username utente se profile.preferredUsername non è impostato.

Anche i controlli sui codici di verifica passano alle impostazioni di sicurezza della Console. Gli amministratori possono configurare la durata di scadenza dei codici e il numero massimo di tentativi consentiti.

Consegna messaggi più sicura

Logto ora applica un rate limit a livello di sistema e destinatario sulla spedizione di email/SMS di verifica e inviti, inclusi Experience, MFA, API Account, API Management, /me, inviti organizzativi e la legacy Interaction API.

Se una spedizione viene limitata, Logto emette un webhook Message.RateLimited, ora selezionabile nelle impostazioni webhook in console.

La consegna del codice di verifica a destinatari sconosciuti viene inoltre soppressa quando la registrazione è disabilitata, riducendo il rischio di enumerazione account.

Personalizzatore JWT e miglioramenti API

Per i token risorsa API delle organizzazioni, il personalizzatore JWT ora riceve context.organization con id, name, description e customData dell'organizzazione target.

Questo semplifica l'aggiunta di claim specifici delle organizzazioni senza incorporare tutte le mappature in ogni token.

Sono stati introdotti anche alcuni miglioramenti API:

  • POST /api/applications/:applicationId/roles ora è idempotente. Gli ID ruolo già esistenti vengono ignorati invece di restituire 422 application.role_exists.
  • L'endpoint ora restituisce 201 con { roleIds, addedRoleIds }, in linea con l'API di assegnazione ruoli utente.
  • La creazione ruoli organizzativi con scope iniziali ora è transazionale, quindi ID scope non validi non lasciano più ruoli creati parzialmente.

Rafforzamento sicurezza e protocolli

Questa versione include una serie mirata di correzioni di protocollo e sicurezza:

  • I forms auto-submit IdP SAML ora eseguono l'escape dei valori degli attributi HTML e respingono URL di azione non HTTP(S).
  • samlify è aggiornato a ^2.13.0 per un migliore escaping XML nelle assertion SAML generate.
  • La verifica TOTP MFA rifiuta i codici ripetuti con lo stesso o precedente time-step.
  • Le request body OIDC che contengono byte null restituiscono ora 400 invalid_request.
  • I payload dei log di audit eliminano i byte null prima dell'inserimento.
  • I controlli blocklist per le subaddressing email non generano più espressioni regolari da input utente.
  • Logto Tunnel impedisce che richieste di file statici leggano fuori dal percorso configurato per l'esperienza.

Incluse anche correzioni di compatibilità e storage: versioni Safari vecchie e iOS 15 non si bloccano più all'avvio per sintassi lookbehind regex non supportata, connettori OIDC enterprise possono recuperare configurazioni discovery da provider che rifiutano la negoziazione response solo-JSON, e i fallimenti del trasporto asset UI personalizzato Azure Blob ora corrispondono a errori di download retryable dello storage.

Connettori nuovi e migliorati

Questa release aggiunge e migliora varie capacità relative ai connettori:

  • Nuovo connettore email SMTP2GO per invio email auth transazionali tramite l'API SMTP2GO send.
  • Supporto connettore QQ per verifica identità social con redirect URI memorizzata.
  • Upgrade connettore SAML per samlify e i suoi tipi di ritorno più rigidi.
  • Connector Kit ora esporta utilità condivise per parsing e formattazione caselle SMTP, utilizzate anche da MailJunky.

Per utenti auto-ospitati

È necessaria una migrazione database per la v1.41.0. Questa versione include modifiche schema per scadenza password, policy username, policy codice verifica, indici sentinella message-rate, default Account Center e indici log di servizio.

Dopo l'aggiornamento, esegui il comando di alterazione database prima di avviare la nuova versione. Consulta la guida all'aggiornamento per i dettagli.

La variabile d'ambiente CASE_SENSITIVE_USERNAME è ora deprecata. Funziona ancora come override runtime, ma la sensitività delle maiuscole nei nomi utente va ora impostata per tenant tramite la nuova policy. È prevista la rimozione della variabile nella prossima versione principale.

Iniziare subito

Pronto per aggiornare? Dai un'occhiata alla guida all'aggiornamento per le istruzioni passo dopo passo.

Per la lista completa delle modifiche, consulta la pagina release su GitHub.

Domande o feedback? Unisciti a noi su Discord o apri una issue su GitHub.