Português (Portugal)
  • lançamento

Atualizações do produto Logto

O Logto v1.38.0 chegou. Esta versão traz suporte para OAuth 2.0 Device Authorization Grant, início de sessão com chave de acesso, MFA adaptativa, gestão de sessões e concessões, e configuração OIDC mais flexível para implementações OSS.

Charles
Charles
Developer

Pare de perder semanas com autenticação de utilizadores
Lance aplicações seguras mais rapidamente com o Logto. Integre a autenticação de utilizadores em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

Estamos entusiasmados por anunciar o Logto v1.38.0, o nosso lançamento de março de 2026! Esta atualização adiciona o fluxo de dispositivos para aplicações com input limitado, introduz início de sessão com chave de acesso e melhorias no MFA adaptativo, e expande os controlos de configuração ao nível das sessões, concessões e tenants em todo o Logto.

Fluxo de dispositivo para aplicações com input limitado

Uma das maiores novidades nesta versão é o suporte para OAuth 2.0 Device Authorization Grant. Isto facilita bastante a construção de fluxos de autenticação para dispositivos que não têm um teclado completo ou experiência de navegador, como smart TVs, ferramentas CLI, consolas de jogos e dispositivos IoT.

Com o fluxo de dispositivos, os utilizadores podem:

  • Iniciar o início de sessão no dispositivo
  • Abrir um URL de verificação noutro dispositivo
  • Introduzir um código de utilizador curto
  • Concluir a autenticação ali
  • Voltar ao dispositivo original com os tokens emitidos

Também adicionámos suporte completo na Consola para aplicações de fluxo de dispositivos. Agora pode criar apps de fluxo de dispositivos selecionando App com input limitado / CLI em Apps Nativas ou escolhendo Fluxo de dispositivos como o fluxo de autorização ao criar uma app manualmente. A página de configurações da aplicação também inclui um guia integrado e uma demonstração para ajudar no arranque.

Início de sessão com chave de acesso torna-se um fluxo de primeira classe

Esta versão introduz o início de sessão com chave de acesso como um método completo de autenticação no Logto.

O início de sessão com chave de acesso oferece uma experiência mais rápida e sem palavra-passe para utilizadores recorrentes, melhorando também a segurança da conta. Funciona com autenticadores de plataforma familiares como Face ID, Touch ID e Windows Hello.

Adicionámos suporte para vários percursos de utilizador baseados em chave de acesso:

  • Um botão dedicado Continuar com chave de acesso para início de sessão imediato
  • Um fluxo "identifier-first" que prioriza a verificação da chave de acesso antes de recorrer à palavra-passe ou código de verificação
  • Suporte de autofill no navegador para que os utilizadores possam escolher uma chave de acesso gravada diretamente no campo de identificador
  • Vinculação da chave de acesso durante o registo de novos utilizadores
  • Reutilização de uma credencial WebAuthn MFA existente para início de sessão com chave de acesso sem novo passo de registo

Para mais detalhes, consulte a nossa documentação sobre início de sessão com chave de acesso.

MFA adaptativa e melhor orientação de MFA

Esta versão continua o nosso investimento em experiências modernas de MFA com duas grandes melhorias.

MFA adaptativa

A MFA adaptativa está agora suportada no Logto. Quando ativa, o fluxo de início de sessão avalia as regras de MFA adaptativa face ao contexto atual e exige MFA quando essas regras são acionadas.

Inclui também:

  • Configuração de MFA adaptativa na Consola
  • Contexto de início de sessão persistente nos dados de interação
  • Acesso a context.interaction.signInContext em scripts de custom-claims
  • Um novo evento de webhook PostSignInAdaptiveMfaTriggered

Onboarding de MFA opcional

Para utilizadores que não são obrigados a configurar MFA, o Logto pode agora mostrar uma página de onboarding dedicada após a verificação de credenciais, perguntando se querem ativar a MFA para maior proteção.

Isto é especialmente útil em conjunto com o início de sessão com chave de acesso, onde um utilizador pode querer utilizá-lo sem necessariamente ativá-lo como fator MFA ao mesmo tempo.

Gestão de sessões e concessões através das APIs e da Consola

Esta versão adiciona um conjunto importante de controlos de conta e administração relativamente às sessões dos utilizadores e aplicações autorizadas.

Gestão de sessão do utilizador

O Logto agora suporta a gestão de sessões tanto na API de conta como na API de gestão. Pode listar sessões ativas, inspecionar detalhes e revogar sessões com comportamento opcional de revogação de concessão.

Introduzimos também:

  • Uma nova permissão session nas definições do Centro de Conta com opções off, readOnly e edit
  • Um novo âmbito de utilizador urn:logto:scope:sessions para acesso à API de conta relacionado com sessões
  • Contexto de sessão mais detalhado, incluindo IP, agente de utilizador e localização GEO quando disponível

No lado da Consola, os detalhes do utilizador incluem agora uma secção de Sessões ativas e uma página dedicada de detalhes da sessão com suporte para revogação.

Gestão de concessão de aplicações autorizadas

O Logto agora suporta listar e revogar concessões de aplicações do utilizador tanto na API de conta como na de gestão.

Esta versão também adiciona uma secção Apps de terceiros autorizados na página de detalhes do utilizador na Consola. Os administradores podem ver autorizações de terceiros ativas, rever metadados como nome da app e tempo de criação, e revogar acesso diretamente na interface.

Limite de dispositivos concorrentes ao nível da aplicação

As aplicações podem agora definir um valor maxAllowedGrants em customClientMetadata para limitar o número de concessões ativas que um utilizador pode manter para uma determinada app. Ultrapassando o limite, o Logto revoga automaticamente as concessões mais antigas.

A Consola inclui ainda uma nova secção Limite de dispositivos concorrentes nos detalhes da aplicação para configurar isto graficamente.

Mais controlos OSS para definições OIDC

Para utilizadores OSS, esta versão torna as configurações OIDC mais configuráveis e fáceis de gerir.

É agora possível definir oidc.session.ttl no logto-config para personalizar o TTL da sessão do fornecedor OIDC em segundos. Se não for definido, o valor predefinido continua a ser 14 dias.

Adicionámos também:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

No lado da Consola, o OSS recebe agora uma nova página Tenant -> Definições, com um separador Definições OIDC que substitui a antiga página de chaves de assinatura. A nova página inclui também um campo Tempo máximo de vida da sessão para configurar o TTL da sessão em dias.

Se estiver a utilizar OSS, lembre-se de reiniciar o serviço após mudanças de configuração para que as novas definições OIDC sejam aplicadas. Se pretende que as atualizações de configuração entrem em vigor automaticamente, considere ativar a central Redis cache.

Melhorias no Centro de Conta

O Centro de Conta "fora-da-caixa" recebe também várias melhorias úteis nesta versão.

Os utilizadores podem agora:

  • Substituir a sua app autenticadora através da rota dedicada /authenticator-app/replace
  • Utilizar o parâmetro de URL identifier para pré-preencher campos de identificador
  • Substituir o idioma incorporado do Centro de Conta com o parâmetro de URL ui_locales

Melhorámos ainda os formulários de palavra-passe para melhor compatibilidade com preenchimento automático do navegador e gestores de palavras-passe.

Melhorias nas APIs orientadas para programadores

Para equipas a migrar utilizadores para o Logto, os endpoints GET /users e GET /users/:userId agora suportam o parâmetro de consulta includePasswordHash. Quando ativado, a resposta inclui passwordDigest e passwordAlgorithm, útil para migrações que necessitam dos hashes de palavra-passe.

Adicionámos também suporte para troca de tokens de acesso em cenários de delegação serviço-para-serviço. O Logto pode agora trocar tokens de acesso opacos ou JWT por novos tokens de acesso com diferentes audiências usando o tipo de token padrão urn:ietf:params:oauth:token-type:access_token.

Correções de bugs

Esta versão inclui ainda várias melhorias de estabilidade e compatibilidade:

  • As rotas de verificação MFA para TOTP, WebAuthn e códigos de backup agora reportam atividades ao Sentinel, tornando mais fácil detetar e isolar falhas repetidas.
  • As queries do adaptador OIDC para findByUid e findByUserCode agora usam chaves JSONB literais para melhor compatibilidade com indexes de expressão sob planos genéricos preparados.
  • Inicialização do pool Postgres agora tenta novamente em erros transitórios de ligação ao arranque.
  • A verificação de palavra-passe legada agora suporta valores de salt PBKDF2 com prefixo hex: durante importação de utilizadores.
  • O desempenho da troca de tokens foi melhorado ao fazer caching das pesquisas mínimas de recursos OIDC e pré-gerar IDs de concessão durante a emissão do token.
  • A formatação Twilio SMS To está agora normalizada para números não E.164 garantindo o + inicial.

Alterações críticas

Esta versão inclui uma alteração crítica no toolkit de conectores.

A exportação mockSmsVerificationCodeFileName, há muito descontinuada, foi removida de @logto/connector-kit.

Atualizámos também os caminhos dos ficheiros usados pelos conectores mock para armazenar registos de mensagens enviadas:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Se os seus fluxos de trabalho locais ou baseados em Docker dependem dos caminhos antigos, terá de atualizá-los.

Novos contribuidores

Obrigado aos nossos novos contribuidores por ajudarem a melhorar o Logto:

Comece já

Pronto para atualizar? Consulte o nosso guia de atualização para instruções passo a passo.

Para a lista completa de alterações, veja a página de lançamentos no GitHub.

Tem dúvidas ou sugestões? Junta-te a nós no Discord ou abre uma issue no GitHub.