Português (Brasil)
  • lançamento

Atualizações do produto Logto

O Logto v1.36 traz suporte a URI de redirecionamento com curinga para implantações de preview, controle de troca de token no nível do app, opção de confiar em e-mails não verificados para conectores OIDC e a possibilidade de pular a coleta de identificador para login social.

Sijie
Sijie
Developer

Pare de perder semanas com autenticação de usuários
Lance aplicativos seguros mais rapidamente com o Logto. Integre a autenticação de usuários em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

O Logto v1.36 chegou. Esta versão traz suporte a URI de redirecionamento com curinga, controle de troca de token no nível do app e a possibilidade de confiar em e-mails não verificados em conectores OIDC.

URIs de redirecionamento com curinga

Graças ao colaborador da comunidade @Arochka, agora você pode usar padrões de curinga (*) em URIs de redirecionamento. Isso é especialmente útil para ambientes dinâmicos como implantações de preview, onde os URLs são gerados dinamicamente.

Regras para aplicações web:

  • Curingas funcionam no nome do host e caminho das URIs http/https
  • Curingas não são permitidos em esquema, porta, query ou hash
  • Padrões de hostname devem conter pelo menos um ponto para evitar correspondências amplas demais

Troca de token com controle no nível do aplicativo

A troca de token agora está disponível para aplicações machine-to-machine, e você tem controle detalhado sobre quais apps podem usar esse recurso.

  • Novo ajuste allowTokenExchange na configuração da aplicação
  • Novos aplicativos têm a troca de token desativada por padrão
  • Aplicativos first-party existentes (Tradicional, Nativo, SPA) mantêm a troca ativada para compatibilidade retroativa
  • Aplicativos de terceiros não podem usar a troca de token
  • O Console mostra um aviso de risco ao habilitar para clientes públicos

Confiar em e-mail não verificado para conectores OIDC

Alguns provedores de identidade não retornam email_verified ou retornam como false mesmo quando o e-mail é válido. Agora, é possível configurar conectores sociais OIDC e conectores de SSO empresarial para sincronizar e-mails independentemente do status de verificação.

Habilite trustUnverifiedEmail na configuração do conector (o padrão é false). Essa opção está disponível no Console Admin para conectores OIDC e SSO do Azure AD.

Pular coleta de identificador para login social

As diretrizes da App Store da Apple exigem que o "Entrar com Apple" não solicite informações além do que a Apple fornece. Para ajudar nisso, adicionamos uma nova opção para pular a coleta obrigatória de identificador durante o login social.

Encontre a caixa "Solicitar aos usuários que forneçam identificador de cadastro ausente" na seção de login social das configurações da experiência de login.

Melhorias na API

APIs de papel de usuário agora retornam resultados

  • POST /users/:userId/roles retorna { roleIds, addedRoleIds }, mostrando quais papéis foram atribuídos recentemente
  • PUT /users/:userId/roles retorna { roleIds }, confirmando o estado final

Nova função createApiClient em @logto/api

Crie um cliente de API type-safe com sua própria lógica de obtenção de token para fluxos de autenticação personalizados.

Correções de bugs

  • Timeout do Postgres: Definido DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT para compatibilidade com PgBouncer/RDS Proxy
  • Erro de SSO empresarial: Corrigido o código de erro quando uma conta SSO não existe
  • Domínios de e-mail JIT: Removido limite de paginação para exibir todos os domínios no Console
  • Login direto: Corrigidas solicitações repetidas de login automático
  • Filtros de log de auditoria: Corrigidos erros de digitação que causavam resultados vazios