Português (Portugal)
  • lançamento

Atualizações do produto Logto

O Logto v1.41.0 traz controlo de acesso ao nível da aplicação, políticas de expiração de palavra-passe, grandes melhorias no Centro de Conta, regras configuráveis para nomes de utilizador e códigos de verificação, entrega de mensagens mais segura, e uma ronda de reforço dos protocolos e segurança.

Sijie
Sijie
Developer

Pare de perder semanas com autenticação de utilizadores
Lance aplicações seguras mais rapidamente com o Logto. Integre a autenticação de utilizadores em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

O Logto v1.41.0 é uma versão focada em controlo e segurança. Dá às equipas formas mais detalhadas de decidir quem pode aceder a cada aplicação, controlos mais completos do ciclo de vida de palavras-passe, e um Centro de Conta muito mais capaz para os utilizadores finais. Também reforça a entrega dos códigos de verificação, regras para nomes de utilizador, gestão SAML/OIDC, proteção contra repetição de MFA, e caminhos de atualização para self-hosting. Eis o que há de novo.

Controlo de acesso ao nível da aplicação

Agora podes restringir o acesso a uma aplicação diretamente no Logto. As regras de acesso podem ter como alvo utilizadores específicos, papéis de utilizador, organizações ou papéis de organização.

Quando um utilizador não corresponde ao conjunto de regras configurado, o Logto bloqueia o processo de início de sessão ou acesso à app com uma página de acesso negado, em vez de permitir que o pedido prossiga. Isto facilita a gestão do lançamento das apps, acesso específico por cliente, proteção de ferramentas internas e acesso limitado a organização, sem ter de delegar toda a decisão ao código da aplicação.

Vê a documentação do controlo de acesso ao nível da aplicação para todo o processo de configuração.

Políticas de expiração de palavra-passe

A consola agora suporta expiração de palavra-passe ao nível do tenant em Segurança > Política de palavra-passe.

Os administradores podem ativar a expiração da palavra-passe, configurar quantos dias uma palavra-passe permanece válida, e expirar manualmente a palavra-passe de um utilizador específico a partir da página de detalhes do utilizador. Quando a palavra-passe expira, o utilizador terá de a repor através do método de recuperação configurado antes de poder iniciar sessão novamente com palavra-passe.

Inícios de sessão via SSO e passkey não são afetados. Utilizadores existentes sem uma marca temporal de alteração de palavra-passe são geridos adequadamente: o Logto atribui-lhes a hora em que a política foi ativada, para que usufruam de todo o período de validade em vez de serem expirados de imediato.

Centro de Conta com mais controlos self-service

O Centro de Conta continua a crescer tornando-se numa verdadeira superfície de identidade self-service para os utilizadores.

Esta versão adiciona gestão de sessão, revisão de aplicações externas conectadas, gestão de perfil, upload de avatar, upload de avatar durante a inscrição com recolha de perfil, controlos independentes de passkey e uma preferência visual para prompts de início de sessão com passkey.

A página de perfil do Centro de Conta, campos de perfil personalizados no registo, e endpoints de upload de avatar também saíram das gates de funcionalidades de desenvolvimento.

Algumas correções importantes também chegaram aqui:

  • Tema, plataforma e cor de marca são aplicados antes da hidratação para reduzir flashes visuais.
  • A verificação de incremento aplica-se apenas a registos de permissão do utilizador.
  • Identidades sociais podem ser ligadas sem verificação de palavra-passe, email ou telefone quando o utilizador não tem métodos de verificação de segurança antigos.
  • A edição de nome de utilizador na consola agora redireciona para o Centro de Conta para que a verificação necessária possa ser concluída.

Políticas para nomes de utilizador e código de verificação

As regras para nomes de utilizador ao nível do tenant agora são configuráveis em Consola > Experiência de início de sessão > Registo e início de sessão > Opções avançadas.

A política cobre sensibilidade à caixa, limites de comprimento e tipos de caracteres permitidos. É aplicada a todas as ações dos utilizadores envolvendo nomes de utilizador, incluindo registo, preenchimento de perfil, Centro de Conta, API de Conta, e /me.

A troca para nomes de utilizador insensíveis à caixa é protegida: o Logto verifica nomes já existentes que diferem apenas pela caixa e bloqueia a alteração de política até os conflitos estarem resolvidos. O atributo OIDC preferred_username agora também recorre ao username do utilizador quando profile.preferredUsername não está definido.

Os controlos de código de verificação também passaram para as definições de segurança da Consola. Os administradores podem configurar duração de expiração do código de verificação e número máximo de tentativas.

Entrega de mensagens mais segura

O Logto agora aplica uma limitação à taxa de envio por destinatário a nível de sistema para verificações de email/SMS e convites, incluindo Experience, MFA, API de Conta, API de Gestão, /me, convites a organizações, e API de interação antiga.

Quando um envio é sujeito a throttling, o Logto emite um evento webhook Message.RateLimited, agora disponível nas definições de webhooks da Consola.

A entrega de código de verificação a destinatários desconhecidos também é suprimida quando o registo está desativado, reduzindo o risco de enumeração de contas.

Customizador de JWT e melhorias de API

Para tokens de recurso de API de organização, o customizador do access token JWT agora recebe context.organization com o id, name, description e customData da organização alvo.

Isto facilita adicionar claims por organização sem embutir todos os mapeamentos de organizações em cada token.

Chegaram também algumas melhorias à API:

  • POST /api/applications/:applicationId/roles agora é idempotente. IDs de papéis já existentes são ignorados em vez de retornar 422 application.role_exists.
  • O endpoint agora retorna 201 com { roleIds, addedRoleIds }, combinando com o formato da API de atribuição de papéis ao utilizador.
  • A criação de papéis de organização com scopes iniciais agora é transacional, de modo a que IDs de scopes inválidos já não deixem papéis parcialmente criados.

Reforço de segurança e protocolos

Esta versão inclui um conjunto focado de correções de protocolo e segurança:

  • Formulários auto-submit do IdP SAML agora escapam valores de atributos HTML e rejeitam URLs de ação que não sejam HTTP(S).
  • samlify está atualizado para ^2.13.0 para melhor escaping de XML em assertions SAML geradas.
  • A verificação MFA por TOTP rejeita códigos repetidos da mesma ou de etapas de tempo anteriores.
  • Corpos de pedido OIDC contendo bytes nulos agora devolvem 400 invalid_request.
  • Payloads de logs de auditoria removem bytes nulos antes da inserção.
  • Os controlos de blocklist de subendereçamento de email já não constroem regex com base em input controlado pelo utilizador.
  • O Logto Tunnel impede que pedidos a ficheiros estáticos leiam fora do caminho de experiência configurado.

Foram também incluídas correções de compatibilidade e armazenamento: versões antigas do Safari e iOS 15 já não crasham ao iniciar devido a sintaxe lookbehind não suportada em regex, conectores empresariais OIDC podem obter configurações de discovery em fornecedores que recusam negociação apenas JSON, e falhas de transporte de UI personalizado no Azure Blob agora mapeiam para erros de download de armazenamento com tentativas possíveis.

Novos e melhorados conectores

Esta versão adiciona e melhora várias capacidades relacionadas com conectores:

  • Novo conector de email SMTP2GO para envio de emails de autenticação transacional via API SMTP2GO.
  • Suporte ao conector QQ para verificação de identidade social com URI de redirecionamento armazenado.
  • Atualização do conector SAML para o samlify e os seus tipos de retorno mais restritos.
  • O Connector Kit agora exporta utilitários partilhados para parsing e formatação de mailboxes SMTP, também usados pelo MailJunky.

Para utilizadores self-hosted

É necessária uma migração de base de dados para a v1.41.0. Esta versão traz alterações de schema para expiração de palavra-passe, política de nomes de utilizador, política de código de verificação, índices de sentinela de taxa de mensagens, padrões do Centro de Conta e índices de logs de serviço.

Depois de atualizar, executa o comando de alteração da base de dados antes de iniciar a nova versão. Consulta o guia de atualização para detalhes.

A variável de ambiente CASE_SENSITIVE_USERNAME está agora obsoleta. Continua a funcionar como sobreposição em tempo de execução, mas a sensibilidade à caixa deve ser configurada por tenant através da nova política de nome de utilizador. A variável será removida na próxima versão principal.

Começa agora

Preparado para atualizar? Consulta o guia de atualização para instruções passo a passo.

Para a lista completa de alterações, vê a página de lançamento no GitHub.

Tens dúvidas ou feedback? Junta-te a nós no Discord ou abre uma issue no GitHub.