Logto 제품 업데이트

Logto v1.35.0, 2025년 12월 릴리스를 발표하게 되어 기쁩니다! 이번 업데이트에는 reCAPTCHA 사용자 지정 옵션 강화, 써드파티 애플리케이션 지원 확장, 패스워드리스 인증을 위한 보안 기능 개선이 포함되어 있습니다.

reCAPTCHA 더욱 유연해지다#

도메인 사용자 지정으로 어디서나 reCAPTCHA 사용#

Google의 기본 도메인을 사용할 수 없는 지역에서도 reCAPTCHA 를 사용할 수 있기를 원한다는 요청이 많았습니다. v1.35.0부터는 recaptcha.net과 같은 대체 도메인을 사용하도록 reCAPTCHA 도메인을 직접 설정할 수 있어, 전세계 사용자에게 원활한 봇 차단 보호를 제공합니다.

체크박스 모드로 원하는 인증 방식 선택#

reCAPTCHA Enterprise 사용자는 이제 두 가지 인증 모드 중에서 선택할 수 있습니다:

• 인비저블 모드: 백그라운드에서 조용히 동작하며 점수 기반으로 인증하는 기본 모드로, 사용자는 추가 인터랙션 없이 봇으로부터 보호받을 수 있습니다.

• 체크박스 모드: 많은 사용자에게 친숙한 "나는 로봇이 아닙니다" 위젯입니다. 이 모드는 명시적인 사용자 인터랙션이 필요하며, 사용자가 인증 단계를 인지하도록 할 때 유용합니다.

Google Cloud Console에서 reCAPTCHA 키의 유형과 동일하게 인증 모드를 맞추기만 하면 바로 사용할 수 있습니다.

써드파티 앱: 이제 SPA와 네이티브도 지원#

이전에는 Logto에서 전통적인 웹 애플리케이션만 써드파티 앱으로 지정할 수 있었습니다. 이번 릴리스에서는 이 제한이 사라지고, 써드파티 싱글 페이지 애플리케이션 (SPA) 및 네이티브 애플리케이션도 생성할 수 있게 되었습니다.

이로 인해 파트너 에코시스템 구축이나 써드파티 통합, 신뢰도가 다른 다수의 클라이언트 애플리케이션 관리 등 다양한 OAuth/OIDC 연동 시나리오에 더 유연하게 대응할 수 있게 되었습니다.

패스워드리스 인증 보안 강화#

클라이언트 IP 추적#

패스워드리스 인증에서 추가적인 보안 제어가 필요한 조직을 위해, 커넥터 메시지 페이로드에 클라이언트 IP 주소 추적 기능을 추가했습니다. 이제 SendMessageData 타입에는 선택적으로 ip 필드가 포함되어, HTTP 이메일과 SMS 커넥터에서 다음과 같이 활용할 수 있습니다:

• 요청 제한: 특정 IP 주소에서 오는 요청을 제한하여 남용 방지
• 사기 탐지: IP 위치 정보나 평판에 기반한 의심스러운 패턴 탐지
• 감사 로그: 보안 컴플라이언스를 위한 자세한 로그 유지

더 똑똑해진 이메일/SMS 템플릿 처리#

이메일 및 SMS 커넥터의 템플릿 폴백(대체) 로직을 개선했습니다. 용도별 템플릿이 없을 경우, 이제 시스템이 자동으로 일반 템플릿으로 폴백 처리합니다. 로케일별 템플릿이 없으면 기본 로케일의 일반 템플릿을 확인하므로, 사용자에게 올바른 메시지가 항상 전달됩니다.

버그 수정#

SAML 연동 개선#

• 릴레이 상태 지원 확장: 릴레이 상태 컬럼이 이제 최대 512자(이전 256자)를 지원해, Firebase와 같이 더 긴 릴레이 상태 값을 생성하는 서비스 제공업체와의 연동 문제를 해결했습니다.
• 더 직관적인 에러 메시지: SAML 인증 플로우 API에서 보다 이해하기 쉬운 에러 메시지를 제공하여 문제 해결이 쉬워졌습니다.

API 파라미터 수정#

SAML 앱 생성 API에서 파라미터 명명 오류를 수정하여 필터 및 페이월 계산 오류 문제를 해결했습니다.

시작하기#

업그레이드 준비가 되셨나요? 단계별 안내는 업그레이드 가이드를 확인해 주세요.

전체 변경사항은 GitHub 릴리스 페이지를 참조하세요.

질문이나 피드백이 있으신가요? Discord에 참여하거나 GitHub에 이슈를 등록해 주세요.