Logto productupdates

We zijn verheugd om Logto v1.39.0 te introduceren, een release gericht op sterkere operationele veiligheid, flexibelere tokenaanpassing en verbeterde accountbeveiliging voor eindgebruikers. Deze versie voegt een respijtperiode toe voor het roteren van privésleutels, configureerbare foutafhandeling voor aangepaste JWT-scripts, een nieuwe beveiligingspagina in het Account Center, WhatsApp-connectorondersteuning via de Meta Cloud API, en verschillende verbeteringen op het gebied van beveiliging en betrouwbaarheid in authenticatiestromen.

Hoogtepunten#

• Respijtperiode voor rotatie van privésleutels: Logto ondersteunt nu een respijtperiode bij het roteren van privésleutels, waardoor clients hun gecachte JWKS kunnen vernieuwen zonder downtime.
• Aangepaste foutafhandeling voor JWT-scripts: Toegangs- en client credentials JWT-aanpassing kan nu uitgifte van tokens blokkeren wanneer scripts falen.
• Beveiligingspagina in Account Center: Eindgebruikers kunnen nu sociale accounts koppelen, MFA instellen en accounts verwijderen vanuit het Account Center.
• WhatsApp-connector: Een nieuwe WhatsApp SMS-connector is beschikbaar via de Meta Cloud API.
• Beveiligings- en compatibiliteitsfixes: Antwoorden op verificatie bij vergeten wachtwoord zijn nu uniform om het risico op accountenumeratie te verminderen en sociale/SSO-redirects in in-app browsers zijn robuuster.

Nieuwe functies & verbeteringen#

Respijtperiode bij het roteren van privésleutels#

Logto ondersteunt nu een respijtperiode tijdens rotatie van privésleutels.

Dit kan geconfigureerd worden via:

• De omgevingsvariabele PRIVATE_KEY_ROTATION_GRACE_PERIOD.
• De CLI-optie --gracePeriod.

Tijdens de respijtperiode:

• De nieuw gegenereerde ondertekeningssleutel wordt gemarkeerd als Volgende.
• De bestaande sleutel blijft actief als Huidig.
• Clients krijgen tijd om hun gecachte JWKS te vernieuwen voordat de nieuwe sleutel actief wordt.

Na afloop van de respijtperiode:

• De nieuwe privésleutel wordt Huidig.
• De oude sleutel wordt gemarkeerd als Vorige.

Dit zorgt voor een soepelere sleutelrotatie en voorkomt authenticatiefouten door verouderde JWKS-caches.

Documentatie: Sleutels roteren

Foutafhandeling voor aangepaste JWT-scripts#

Logto ondersteunt nu configureerbare foutafhandeling voor aangepaste JWT-scripts die gebruikt worden bij access token en client credentials flows.

Wijzigingen in deze release:

• Aangepaste JWT-scripts kunnen nu tokenuitgifte blokkeren wanneer de uitvoering faalt.
• api.denyAccess() blijft een access_denied-reactie retourneren.
• Andere zelfblokkerende scriptfouten worden als gelokaliseerde invalid_request-antwoorden geretourneerd.
• In Console is er een toegewijd Foutafhandeling-tabblad voor het instellen van dit gedrag.
• Nieuwe scripts hebben standaard blockIssuanceOnError ingeschakeld.
• Bestaande scripts zonder opgeslagen waarde houden het legacy-gedrag (uitgeschakeld).
• Gerelateerde Console-instructies, termen, schemas en integratiedekking zijn bijgewerkt.

Dit helpt ontwikkelaars om te bepalen of tokenaanpassingsfouten open of gesloten moeten falen, afhankelijk van hun beveiligingseisen.

Beveiligingspagina voor Account Center#

Deze release voegt een nieuwe beveiligingspagina toe aan het standaard Account Center.

Eindgebruikers kunnen nu hun accountbeveiliging beheren via /account/security, inclusief:

• Sociale accounts koppelen en ontkoppelen.
• MFA 2-stapsverificatie.
• Account verwijderen.

Console-ondersteuning:

• De Account Center-instellingen voor de inlogervaring tonen nu het veld voor de verwijder-account URL.
• Console toont Account Center en sociale vooraf gebouwde UI-items.

WhatsApp-connector via Meta Cloud API#

Er is een nieuwe WhatsApp-connector toegevoegd om berichten te versturen via de Meta Cloud API.

Hiermee kun je WhatsApp-gebaseerde SMS-/verificatiecode-scenario's gebruiken met de officiële Meta Cloud API-integratie.

Response bodies voor organisatie-toewijzings-API's#

APIs voor het toewijzen van organisatiegebruikers en rollen geven nu response bodies terug.

Bijgewerkte eindpunten:

• POST /organizations/:id/users geeft nu { userIds: string[] } terug, waarmee de verzonden gebruikers-IDs worden bevestigd.
• POST /organizations/:id/users/:userId/roles geeft nu { organizationRoleIds: string[] } terug, met de uiteindelijke samengevoegde rol-IDs die aan de gebruiker zijn toegewezen, inclusief IDs die via rolnamen zijn opgezocht.

Update van thema-token in Console#

Console-thema's bevatten nu de ontbrekende --color-overlay-primary-subtle token voor zowel licht als donker.

Bugfixes & stabiliteit#

Beveiligingsbescherming voor wachtwoord-vergetenactie#

De verificatie voor vergeten wachtwoord retourneert nu eenduidig de fout verification_code.code_mismatch.

Hierdoor wordt voorkomen dat via verschillende foutmeldingen duidelijk wordt of een e-mailadres of telefoonnummer bestaat.

Social- en SSO-redirects in in-app browsers#

Verbeterde betrouwbaarheid van social- en SSO-redirects in in-app browsers zoals Instagram, Facebook en LINE.

Sommige in-app browsers openen OAuth identity provider pagina's in een nieuwe WebView, waardoor sessionStorage na redirect kan verdwijnen.

Deze release voegt een localStorage-fallback toe:

• Redirect-status wordt nog steeds opgeslagen in sessionStorage.
• Een fallback-context wordt ook opgeslagen in localStorage.
• Bij callback herstelt Logto de status uit localStorage als sessionStorage ontbreekt.
• Fallback-items worden bij uitlezen verbruikt en na 10 minuten automatisch opgeruimd.
• Als beide opslaglocaties leeg zijn, krijgt de gebruiker een foutmelding.

IP-adres voor verificatiecode-connectorverzoeken#

Er is een probleem opgelost waarbij het aanvraag-IP niet aan connectors werd doorgegeven bij verzending van verificatiecodes.

Hierdoor ontvangen connectors nu de juiste aanvraagcontext bij het bezorgen van verificatiecodes.