Português (Brasil)
  • lançamento

Atualizações do produto Logto

O Logto v1.38.0 chegou. Esta versão traz suporte ao OAuth 2.0 Device Authorization Grant, login com chave de acesso (passkey), MFA adaptativo, gerenciamento de sessões e concessões, além de uma configuração OIDC mais flexível para implantações OSS.

Charles
Charles
Developer

Pare de perder semanas com autenticação de usuários
Lance aplicativos seguros mais rapidamente com o Logto. Integre a autenticação de usuários em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

Estamos animados em anunciar o Logto v1.38.0, nossa versão de março de 2026! Esta atualização adiciona o fluxo de dispositivo para aplicativos com entrada limitada, introduz login com passkey e melhorias em MFA adaptativo, além de expandir os controles de sessão, concessão e configuração no nível do locatário em todo o Logto.

Fluxo de dispositivo para aplicativos com entrada limitada

Uma das maiores adições nesta versão é o suporte ao OAuth 2.0 Device Authorization Grant. Isso facilita muito a criação de fluxos de autenticação para dispositivos que não possuem teclado completo ou navegador, como smart TVs, ferramentas de CLI, consoles de jogos e dispositivos IoT.

Com o fluxo de dispositivo, os usuários podem:

  • Iniciar o login no dispositivo
  • Abrir uma URL de verificação em outro dispositivo
  • Inserir um código de usuário curto
  • Completar a autenticação lá
  • Retornar ao dispositivo original com os tokens emitidos

Também adicionamos suporte completo no Console para aplicações de fluxo de dispositivo. Agora você pode criar apps de fluxo de dispositivo selecionando Aplicativo com entrada limitada / CLI em aplicativos nativos, ou escolhendo Fluxo de dispositivo como o fluxo de autorização ao criar uma aplicação manualmente. A página de configurações da aplicação também inclui um guia e demonstração integrados para ajudar você a começar.

Login com passkey vira um fluxo principal

Esta versão traz o login com passkey como um método de autenticação completo no Logto.

O login com passkey oferece uma experiência mais rápida e sem senha para usuários recorrentes, ao mesmo tempo em que melhora a segurança da conta. Ele funciona com autenticadores de plataforma conhecidos, como Face ID, Touch ID e Windows Hello.

Adicionamos suporte para várias jornadas de usuários baseadas em passkey:

  • Um botão dedicado Continuar com chave de acesso para login imediato
  • Um fluxo orientado ao identificador que prioriza a verificação de passkey antes de retornar à senha ou código de verificação
  • Suporte a preenchimento automático do navegador, permitindo que o usuário escolha uma chave de acesso salva diretamente do campo do identificador
  • Associação de passkey durante o cadastro de novos usuários
  • Reutilização de uma credencial WebAuthn MFA existente para login com chave de acesso sem necessidade de novo registro

Para mais detalhes, consulte nossa documentação de login com passkey.

MFA adaptativo e orientações aprimoradas de MFA

Esta versão continua nosso investimento em experiências modernas de MFA com duas grandes melhorias.

MFA adaptativo

O MFA adaptativo agora é suportado no Logto. Quando ativado, o fluxo de login avalia regras de MFA adaptativo contra o contexto da sessão atual e exige MFA quando essas regras são acionadas.

Isso também inclui:

  • Configuração de MFA adaptativo no Console
  • Persistência do contexto de login nos dados de interação
  • Acesso a context.interaction.signInContext em scripts de custom-claims
  • Um novo evento webhook PostSignInAdaptiveMfaTriggered

Onboarding opcional de MFA

Para usuários que não são obrigados a configurar MFA, o Logto agora pode mostrar uma página dedicada de onboarding após a verificação das credenciais, perguntando se desejam habilitar MFA para maior proteção.

Isso é especialmente útil junto ao login com passkey, onde o usuário pode querer usar chaves de acesso para login sem necessariamente ativá-las como um fator MFA ao mesmo tempo.

Gerenciamento de sessões e concessões via APIs e Console

Esta versão traz um conjunto importante de controles de conta e administração para sessões de usuário e aplicações autorizadas.

Gerenciamento de sessão de usuário

O Logto agora suporta gerenciamento de sessões tanto em APIs de conta quanto em APIs de administração. Você pode listar sessões ativas, inspecionar detalhes de sessão e revogar sessões com opção de revogação de concessão.

Também introduzimos:

  • Uma nova permissão session nas configurações do Account Center com opções off, readOnly e edit
  • Um novo escopo de usuário urn:logto:scope:sessions para acesso à API de conta relacionado a sessão
  • Contexto de sessão mais rico incluindo IP, agente do usuário e localização geográfica quando disponível

No Console, agora os detalhes do usuário incluem uma seção Sessões ativas e uma página de detalhes de sessão com suporte à revogação.

Gerenciamento de concessão de aplicações autorizadas

O Logto agora permite listar e revogar concessões de aplicativos do usuário tanto na API de conta quanto na API administrativa.

Esta versão também adiciona uma seção Aplicativos de terceiros autorizados na página de detalhes do usuário do Console. Os administradores podem ver as autorizações de terceiros ativas, revisar metadados como nome da aplicação e horário de criação, e revogar o acesso diretamente pela interface.

Limite de dispositivos concorrentes por aplicação

Agora as aplicações podem definir um valor maxAllowedGrants em customClientMetadata para limitar quantas concessões ativas um usuário pode manter para um app específico. Quando o limite configurado é excedido, o Logto revoga automaticamente os concedidos mais antigos.

O Console também inclui uma nova seção Limite de dispositivos concorrentes nos detalhes da aplicação para que esta configuração seja feita de forma visual.

Mais controles OSS para configurações OIDC

Para usuários OSS, esta versão torna as configurações OIDC mais flexíveis e fáceis de gerenciar.

Agora é possível definir oidc.session.ttl em logto-config para personalizar o tempo de vida da sessão do provedor OIDC em segundos. Se não definido, o padrão permanece 14 dias.

Também adicionamos:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

No Console, o OSS agora tem uma nova página Locatário -> Configurações, com uma aba Configurações OIDC que substitui a antiga de Chaves de assinatura. A nova página também inclui um campo Tempo máximo de vida da sessão para configuração de TTL em dias.

Se você utiliza o OSS, lembre de reiniciar o serviço após alterar as configurações para que o novo OIDC seja carregado. Se quiser que atualizações de configuração entrem em vigor automaticamente, considere ativar o cache central em Redis.

Melhorias no Account Center

O Account Center pronto para uso também recebe diversas melhorias nesta versão.

Usuários agora podem:

  • Substituir o aplicativo autenticador por meio da rota dedicada /authenticator-app/replace
  • Usar o parâmetro de URL identifier para pré-preencher campos de identificador
  • Sobrescrever o idioma do Account Center com o parâmetro de URL ui_locales

Também aprimoramos formulários de senha para melhor compatibilidade com preenchimento automático de navegador e gerenciadores de senha.

Melhorias de API voltadas para desenvolvedores

Para equipes migrando usuários para o Logto, os endpoints GET /users e GET /users/:userId agora aceitam o parâmetro de consulta includePasswordHash. Quando habilitado, a resposta inclui passwordDigest e passwordAlgorithm, facilitando fluxos de migração que precisam de hash de senha bruta.

Também adicionamos suporte para troca de token de acesso em cenários de delegação serviço-para-serviço. O Logto agora pode trocar tokens de acesso opacos ou JWT por novos tokens de acesso com diferentes audiências, usando o tipo de token padrão urn:ietf:params:oauth:token-type:access_token.

Correções de bugs

Esta versão inclui ainda diversas melhorias de estabilidade e compatibilidade:

  • Rotas de verificação MFA para TOTP, WebAuthn e códigos de backup agora reportam atividade ao Sentinel, facilitando a detecção e isolamento de falhas repetidas.
  • Consultas do adaptador OIDC para findByUid e findByUserCode agora usam chaves JSONB literais para que índices de expressão funcionem melhor em planos genéricos preparados.
  • Inicialização do pool Postgres agora faz novas tentativas em casos de erro transitório na conexão inicial.
  • Verificação de senha legado agora suporta valores salt PBKDF2 com o prefixo hex: durante importação de usuários.
  • O desempenho de troca de tokens foi melhorado com cache de consultas mínimas de recursos OIDC e pré-geração de IDs de concessão durante a emissão do token.
  • O formato To do Twilio SMS agora é normalizado para números fora do padrão E.164, garantindo um + no início.

Mudanças incompatíveis (breaking changes)

Esta versão inclui uma mudança incompatível (breaking change) no kit de conectores.

A exportação mockSmsVerificationCodeFileName, já descontinuada há tempos, foi removida do @logto/connector-kit.

Também atualizamos os caminhos de arquivos usados por conectores de simulação para armazenar registros de mensagens enviadas:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Se seus fluxos locais ou baseados em Docker dependem dos caminhos antigos, será necessário atualizá-los.

Novos contribuidores

Agradecemos aos nossos novos colaboradores por ajudarem a melhorar o Logto:

Comece agora

Pronto para atualizar? Confira nosso guia de atualização para instruções passo a passo.

Para a lista completa de mudanças, veja a página de lançamentos no GitHub.

Tem dúvidas ou sugestões? Junte-se a nós no Discord ou abra uma issue no GitHub.