Nederlands
  • release

Logto productupdates

Logto v1.38.0 is er. Deze release brengt ondersteuning voor OAuth 2.0 Device Authorization Grant, passkey-aanmelding, adaptieve MFA, sessie- en grantbeheer, en flexibelere OIDC-configuratie voor OSS-implementaties.

Charles
Charles
Developer

Stop met weken verspillen aan gebruikersauthenticatie
Lanceer veilige apps sneller met Logto. Integreer gebruikersauthenticatie in minuten en focus op je kernproduct.
Aan de slag
Product screenshot

We zijn enthousiast om Logto v1.38.0 aan te kondigen, onze release van maart 2026! Deze update voegt device flow toe voor apparaten met beperkte invoer, introduceert passkey-aanmelding en verbeteringen aan adaptieve MFA, en breidt sessie-, grant- en tenant-niveau configuratiecontroles uit in Logto.

Deviceflow voor apps met beperkte invoer

Een van de grootste toevoegingen in deze release is ondersteuning voor OAuth 2.0 Device Authorization Grant. Dit maakt het veel makkelijker om authenticatieflows te bouwen voor apparaten zonder volledig toetsenbord of browserervaring, zoals smart-tv’s, CLI-tools, gameconsoles en IoT-apparaten.

Met deviceflow kunnen gebruikers:

  • De aanmelding starten op het apparaat
  • Een verificatie-URL openen op een ander apparaat
  • Een korte gebruikerscode invoeren
  • Daar de authenticatie voltooien
  • Teruggaan naar het originele apparaat met uitgegeven tokens

We hebben ook volledige Console-ondersteuning toegevoegd voor deviceflow-applicaties. Je kan nu deviceflow-apps aanmaken door Input-limited app / CLI te selecteren onder Native apps, of Device flow te kiezen als de autorisatiefase bij het handmatig aanmaken van een app. De instellingenpagina van de app bevat ook een ingebouwde gids en demo om je te helpen starten.

Passkey-aanmelding wordt een volwaardige flow

Deze release introduceert passkey-aanmelding als een volwaardig authenticatiemiddel in Logto.

Passkey-aanmelding biedt een snellere, wachtwoordloze ervaring voor terugkerende gebruikers, terwijl het ook de accountbeveiliging verbetert. Het werkt met bekende platform-authenticators zoals Face ID, Touch ID en Windows Hello.

We hebben ondersteuning toegevoegd voor verschillende passkey-gebaseerde gebruikersroutes:

  • Een speciale knop Doorgaan met passkey voor directe aanmelding
  • Een identifier-first flow die passkey-verificatie voorrang geeft, met terugval naar wachtwoord of verificatiecode
  • Ondersteuning voor browser-autofill zodat gebruikers direct een opgeslagen passkey kunnen kiezen vanuit het invoerveld
  • Passkey-koppeling tijdens registratie voor nieuwe gebruikers
  • Hergebruik van een bestaande WebAuthn MFA-credential voor passkey-aanmelding zonder extra registratie

Voor meer details, bekijk onze documentatie over passkey-aanmelding.

Adaptieve MFA en betere MFA-begeleiding

Deze release zet onze investering in moderne MFA-ervaringen voort met twee grote verbeteringen.

Adaptieve MFA

Adaptieve MFA wordt nu ondersteund in Logto. Wanneer ingeschakeld, evalueert de aanmeldflow adaptieve MFA-regels ten opzichte van de huidige aanmeldcontext en vereist MFA wanneer deze regels getriggerd worden.

Dit omvat ook:

  • Adaptieve MFA-configuratie in Console
  • Vastgelegde aanmeldcontext in interactiedata
  • Toegang tot context.interaction.signInContext in custom-claims scripts
  • Een nieuwe PostSignInAdaptiveMfaTriggered webhook-gebeurtenis

Optionele MFA-onboarding

Voor gebruikers die niet verplicht zijn om MFA in te stellen, kan Logto nu een speciale onboardingpagina tonen na credentialverificatie die vraagt of ze MFA willen inschakelen voor betere bescherming.

Dit is vooral handig samen met passkey-aanmelding, waarbij een gebruiker passkeys kan gebruiken voor aanmelding zonder die tegelijk als MFA-factor in te schakelen.

Sessie- en grantbeheer via API's en Console

Deze release voegt een grote set account- en beheermogelijkheden toe rond gebruikerssessies en geautoriseerde applicaties.

Beheer van gebruikerssessies

Logto ondersteunt nu sessiebeheer zowel in account-API’s als beheer-API’s. Je kan actieve sessies opvragen, details bekijken en sessies intrekken met optioneel intrekking van grants.

We hebben ook het volgende geïntroduceerd:

  • Een nieuwe session-machtiging in Account Center-instellingen met off, readOnly en edit-opties
  • Een nieuwe urn:logto:scope:sessions user scope voor toegang tot de account-API met betrekking tot sessies
  • Rijkere sessiecontext, inclusief IP, user agent en GEO-locatie indien beschikbaar

Aan Console-zijde tonen gebruiker-details nu een sectie Actieve sessies en een speciale pagina voor sessiedetails met intrekfunctionaliteit.

Beheer van gemachtigde applicaties

Logto ondersteunt nu het opvragen en intrekken van applicatie-grants van gebruikers in zowel de Account API als de beheer-API’s.

Deze release bevat ook een sectie Geautoriseerde apps van derden op de gebruiker-detailpagina in Console. Beheerders kunnen nu actieve autorisaties van derden zien, metadata zoals app-naam en aanmaaktijd bekijken, en directe toegang intrekken.

App-niveau limieten voor gelijktijdige apparaten

Applicaties kunnen nu een waarde maxAllowedGrants definiëren in customClientMetadata om te beperken hoeveel actieve grants een gebruiker voor een specifieke app mag hebben. Zodra de ingestelde limiet wordt overschreden, trekt Logto automatisch de oudste grants in.

In Console vind je nu ook een nieuwe sectie Limiet gelijktijdige apparaten in applicatiedetails, zodat dit visueel kan worden ingesteld.

Meer OSS-controls voor OIDC-instellingen

Voor OSS-gebruikers zijn OIDC-instellingen in deze release flexibeler en eenvoudiger te beheren.

Je kan nu oidc.session.ttl instellen in logto-config om de OIDC-provider sessie-TTL in seconden aan te passen. Indien niet ingesteld, blijft de standaardwaarde 14 dagen.

We hebben ook toegevoegd:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

Aan Console-zijde heeft OSS nu een nieuwe pagina Tenant -> Instellingen, met een tabblad OIDC-instellingen ter vervanging van de oude Signing keys-pagina. De nieuwe pagina bevat ook een veld Sessie maximale levensduur om de TTL in dagen te configureren.

Als je OSS draait, vergeet niet de dienst opnieuw te starten na configuratiewijzigingen zodat de nieuwe OIDC-instellingen geladen worden. Wil je dat config-updates automatisch effect hebben, overweeg dan de centrale Redis-cache in te schakelen.

Verbeteringen aan Account Center

Het kant-en-klare Account Center krijgt ook enkele handige upgrades in deze release.

Gebruikers kunnen nu:

  • Hun authenticator-app vervangen via een speciale route /authenticator-app/replace
  • De identifier-URL-parameter gebruiken om identifiervelden vooraf in te vullen
  • De standaardtaal van Account Center overschrijven met de URL-parameter ui_locales

We hebben ook wachtwoordformulieren verbeterd voor betere compatibiliteit met browser-autofill en wachtwoordmanagers.

Ontwikkelaargerichte API-verbeteringen

Voor teams die gebruikers willen migreren naar Logto ondersteunen de endpoints GET /users en GET /users/:userId nu een queryparameter includePasswordHash. Bij inschakelen bevat de response passwordDigest en passwordAlgorithm, wat kan helpen bij migratieworkflows die ruwe passwordhashes vereisen.

Ook ondersteunen we nu access token exchange voor service-to-service delegatie. Logto kan nu opaque of JWT access tokens omwisselen voor nieuwe tokens met andere audiences via het standaard urn:ietf:params:oauth:token-type:access_token token type.

Bugfixes

Ook bevat deze release verschillende stabiliteits- en compatibiliteitsverbeteringen:

  • MFA-verificatie-routes voor TOTP, WebAuthn en back-upcodes rapporteren nu activiteiten aan Sentinel, zodat herhaalde mislukking makkelijker te detecteren en isoleren is.
  • OIDC-adapterqueries voor findByUid en findByUserCode gebruiken nu letterlijke JSONB-sleutels zodat expression indexen beter werken onder prepared generic plans.
  • Initialisatie van de Postgres-pool probeert nu opnieuw bij tijdelijke verbindingsfouten bij het opstarten.
  • Legacy-wachtwoordverificatie ondersteunt nu hex:-geprefixed PBKDF2-zoutwaarden bij gebruikersimport.
  • Token exchange-prestaties zijn verbeterd door minimale OIDC resource-lookups te cachen en grant-ID’s vooraf te genereren tijdens token-uitgifte.
  • Twilio SMS To-formatering is nu genormaliseerd voor niet-E.164-nummers door ervoor te zorgen dat er een + vooraan staat.

Breaking changes

Deze release bevat een breaking change in de connector toolkit.

De lang-verouderde mockSmsVerificationCodeFileName export is verwijderd uit @logto/connector-kit.

We hebben ook de bestandspaden bijgewerkt die mock-connectors gebruiken om verzonden berichtrecords op te slaan:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Als je lokale of Docker-gebaseerde workflows afhankelijk zijn van de oude paden, moet je deze bijwerken.

Nieuwe bijdragers

Dank aan onze nieuwe bijdragers voor het helpen verbeteren van Logto:

Aan de slag

Klaar om te upgraden? Bekijk onze upgradegids voor stapsgewijze instructies.

Voor de volledige lijst met wijzigingen, zie de GitHub-releasepagina.

Vragen of feedback? Kom bij ons op Discord of open een issue op GitHub.