Português (Brasil)
  • release

Atualizações do produto Logto

O Logto v1.39.0 chegou, trazendo rotação de chave de assinatura mais segura, tratamento inteligente de erros em scripts JWT, controles expandidos de segurança no Centro de Conta, suporte ao conector WhatsApp e melhorias importantes de segurança.

Simeng
Simeng
Developer

Pare de perder semanas com autenticação de usuários
Lance aplicativos seguros mais rapidamente com o Logto. Integre a autenticação de usuários em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

Estamos entusiasmados em apresentar o Logto v1.39.0, uma versão focada em maior segurança operacional, personalização de token mais flexível e segurança aprimorada para contas de usuários finais. Esta versão adiciona um período de carência para rotação de chave privada de assinatura, tratamento configurável de erros para scripts JWT personalizados, uma nova página de segurança no Centro de Conta, suporte ao conector WhatsApp via API Meta Cloud e diversas melhorias de segurança e confiabilidade nos fluxos de autenticação.

Destaques

  • Período de carência para rotação de chave privada de assinatura: O Logto agora oferece um período de carência ao rotacionar chaves privadas de assinatura, ajudando clientes a renovarem JWKS em cache sem tempo de inatividade.
  • Tratamento de erro em scripts JWT personalizados: A personalização de JWT para access token e client credentials agora pode bloquear a emissão de tokens caso os scripts falhem.
  • Página de segurança do Centro de Conta: Usuários finais podem agora gerenciar vinculação de contas sociais, MFA e exclusão de conta a partir do Centro de Conta.
  • Conector WhatsApp: Um novo conector SMS WhatsApp está disponível via API Meta Cloud.
  • Correções de segurança e compatibilidade: As respostas de verificação de esqueci a senha agora são unificadas para reduzir o risco de enumeração de contas, e redirecionamentos sociais / SSO em navegadores embutidos se tornam mais resilientes.

Novos recursos & melhorias

Período de carência para rotação de chave privada

O Logto agora suporta um período de carência durante a rotação da chave privada de assinatura.

Isso pode ser configurado através de:

  • A variável de ambiente PRIVATE_KEY_ROTATION_GRACE_PERIOD.
  • A opção de CLI --gracePeriod.

Durante o período de carência:

  • A nova chave de assinatura gerada é marcada como Próxima.
  • A chave de assinatura existente permanece ativa como Atual.
  • Os clientes têm tempo para atualizar JWKS em cache antes da nova chave se tornar ativa.

Após o término do período de carência:

  • A nova chave privada de assinatura se torna Atual.
  • A chave antiga é marcada como Anterior.

Isso torna o processo de rotação de chave mais suave e ajuda a evitar falhas de autenticação causadas por JWKS desatualizados em cache.

Documentação: Rotacionar chaves de assinatura

Tratamento de erro em script JWT personalizado

O Logto agora permite tratamento de erro configurável para scripts JWT personalizados usados nos fluxos de access token e client credentials.

Mudanças incluídas:

  • Scripts JWT personalizados podem bloquear a emissão de tokens caso a execução falhe.
  • api.denyAccess() permanece retornando como resposta access_denied.
  • Outras falhas em scripts no modo bloqueante são retornadas como respostas localizadas invalid_request.
  • O Console adiciona uma aba dedicada de Tratamento de Erros para configurar esse comportamento.
  • Scripts recém-criados definem blockIssuanceOnError como habilitado por padrão.
  • Scripts existentes sem valor salvo mantêm o comportamento legado desabilitado.
  • Orientações, frases, esquemas e cobertura de integração no Console foram atualizados.

Isso permite aos desenvolvedores decidir se falhas de personalização do token devem causar falha aberta ou fechada, conforme suas necessidades de segurança.

Página de segurança do Centro de Conta

Esta versão adiciona uma nova página de segurança ao Centro de Conta padrão.

Usuários finais agora podem gerenciar a segurança da conta em /account/security, incluindo:

  • Vinculação e desvinculação de contas sociais.
  • Verificação MFA em 2 etapas.
  • Exclusão de conta.

Suporte no Console:

  • As configurações do Centro de Conta para a experiência de login agora expõem o campo de URL para exclusão da conta.
  • O Console exibe entradas pré-construídas para Centro de Conta e social.

Conector WhatsApp via API Meta Cloud

Foi adicionado um novo conector WhatsApp para envio de mensagens através da API Meta Cloud.

Isso viabiliza cenários de entrega de SMS / código de verificação via WhatsApp usando a integração oficial da API Meta Cloud.

Respostas de API para designação de organização

As APIs de designação de usuários e cargos em organizações agora retornam corpos de resposta.

Endpoints atualizados:

  • POST /organizations/:id/users agora retorna { userIds: string[] }, refletindo os IDs de usuário enviados na requisição.
  • POST /organizations/:id/users/:userId/roles agora retorna { organizationRoleIds: string[] }, contendo os IDs finais dos cargos atribuídos ao usuário, incluindo IDs resolvidos a partir dos nomes de cargos fornecidos.

Atualização de token de tema do Console

Os temas do Console agora incluem o token ausente --color-overlay-primary-subtle para os modos claro e escuro.

Correções de bugs & estabilidade

Proteção à enumeração em verificação de esqueci a senha

A verificação de esqueci a senha agora retorna um erro unificado verification_code.code_mismatch.

Isso impede que o fluxo exponha se email ou número de telefone existem, através de respostas de erro diferentes.

Redirecionamentos sociais e SSO em navegadores embutidos

Maior confiabilidade nos redirecionamentos sociais e SSO em navegadores embutidos como Instagram, Facebook e LINE.

Alguns navegadores embutidos abrem as páginas do provedor OAuth em um novo WebView, o que pode fazer com que o sessionStorage seja perdido ao redirecionar de volta.

Esta atualização adiciona fallback em localStorage:

  • O estado do redirecionamento ainda é salvo em sessionStorage.
  • Um contexto de redirecionamento criado como fallback também é armazenado em localStorage.
  • No callback, o Logto restaura o estado de localStorage se sessionStorage estiver indisponível.
  • Entradas fallback são consumidas ao serem lidas e expurgadas automaticamente após 10 minutos.
  • Se ambas as áreas de armazenamento estiverem vazias, o usuário verá um toast de erro.

IP de requisição do conector de código de verificação

Corrigido o problema onde o IP da requisição não era passado para os conectores ao enviar códigos de verificação.

Agora, os conectores podem receber o contexto correto da requisição para entrega de código de verificação.