Logto produktuppdateringar

Vi är glada att presentera Logto v1.39.0, en release som fokuserar på starkare operationell säkerhet, mer flexibel tokenanpassning och förbättrad säkerhet för slutanvändarnas konton. Denna version lägger till en respitperiod för rotation av privata signeringsnycklar, konfigurerbar felhantering för anpassade JWT-skript, en ny säkerhetssida i Kontocentret, stöd för WhatsApp-anslutning via Meta Cloud API samt flera säkerhets- och tillförlitlighetsförbättringar i autentiseringsflödena.

Höjdpunkter#

• Respittid vid rotation av privat signeringsnyckel: Logto stödjer nu en respitperiod när privata signeringsnycklar roteras, vilket hjälper klienter att uppdatera cachelagrade JWKS utan avbrott.
• Felhantering för anpassade JWT-skript: Användardefinierade JWT-skript för åtkomst- och klientcredentials kan nu blockera utfärdande av tokens om skripten misslyckas.
• Säkerhetssida i Kontocentret: Slutanvändare kan nu hantera länkning av sociala konton, MFA och radering av konto direkt via Kontocentret.
• WhatsApp-anslutning: En ny WhatsApp-SMS-anslutning finns nu tillgänglig via Meta Cloud API.
• Säkerhets- och kompatibilitetsfixar: Svaren vid "glömt lösenord"-verifiering har enhetligats för att minska risken för kontouppräkning, och omdirigeringar för social/SSO i appens webbläsare är mer robusta.

Nya funktioner & förbättringar#

Respittid vid rotation av privat signeringsnyckel#

Logto stödjer nu en respitperiod vid rotation av privata signeringsnycklar.

Detta kan konfigureras via:

• Miljövariabeln PRIVATE_KEY_ROTATION_GRACE_PERIOD.
• CLI-flaggan --gracePeriod.

Under respitperioden:

• Den nygenererade signeringsnyckeln markeras som Next.
• Den befintliga signeringsnyckeln är aktiv som Current.
• Klienter ges tid att uppdatera cachelagrade JWKS innan den nya nyckeln blir aktiv.

Efter att respitperioden är över:

• Den nya privata signeringsnyckeln blir Current.
• Den gamla nyckeln markeras som Previous.

Detta ger en smidigare nyckelrotation och minskar risken för autentiseringsfel på grund av föråldrade JWKS-cachear.

Dokumentation: Rotera signeringsnycklar

Felhantering för anpassat JWT-skript#

Logto stödjer nu konfigurerbar felhantering för anpassade JWT-skript som används i åtkomsttoken- och klientcredentials-flöden.

Inkluderade ändringar:

• Anpassade JWT-skript kan nu blockera utfärdande av token om körningen misslyckas.
• api.denyAccess() bibehålls som ett access_denied-svar.
• Övriga scriptfel i blockläge returneras som lokaliserade invalid_request-svar.
• Konsolen har ett dedikerat flik för Felhantering där beteendet kan konfigureras.
• Nyskapade skript har blockIssuanceOnError aktiverat som standard.
• Befintliga skript utan sparat värde behåller tidigare inaktiverat beteende.
• Relaterade instruktioner, fraser, scheman och integrationsguider i konsolen har uppdaterats.

Detta ger utvecklare möjligheten att välja om ett mislyckat tokenanpassningsskript ska ge öppet eller slutet fel beroende på deras säkerhetskrav.

Säkerhetssida i Kontocentret#

Den här versionen lägger till en ny säkerhetssida i det förbyggda Kontocentret.

Slutanvändare kan nu administrera kontosäkerhet på /account/security, inklusive:

• Länkning och bortlänkning av sociala konton.
• MFA tvåstegsverifiering.
• Kontoradering.

Stöd i konsolen:

• Inloggningsinställningarna i Kontocentret visar nu fält för URL vid borttagning av konto.
• Konsolen tydliggör Kontocenter- och sociala gränssnittskomponenter.

WhatsApp-anslutning via Meta Cloud API#

En ny WhatsApp-anslutning har lagts till för att skicka meddelanden via Meta Cloud API.

Detta möjliggör scenario för SMS/verifieringskods-leveranser via WhatsApp med officiell Meta Cloud API-integration.

Responskroppar för organisationstilldelning via API#

API:er för tilldelning av användare och roller i organisationer returnerar nu data.

Uppdaterade endpoints:

• POST /organizations/:id/users returnerar nu { userIds: string[] }, vilket ekar användar-ID:n som skickats i anropet.
• POST /organizations/:id/users/:userId/roles returnerar { organizationRoleIds: string[] }, som innehåller slutlig deduplikerad lista med roll-ID:n tilldelade till användaren, inklusive ID:n upplösta från rollnamn.

Token för konsoltemat uppdaterad#

Konsolteman innehåller nu den saknade token --color-overlay-primary-subtle för både ljust och mörkt läge.

Buggfixar & stabilitet#

Skydd mot uppräkning vid "glömt lösenord"-verifiering#

Verifiering vid "glömt lösenord" returnerar nu ett enhetligt fel: verification_code.code_mismatch.

Detta förhindrar att flödet avslöjar om en e-postadress eller ett telefonnummer existerar baserat på olika felsvar.

Omdirigeringar för sociala och SSO i app-webbläsare#

Förbättrad pålitlighet för omdirigeringar vid social inloggning och SSO i appwebbläsare såsom Instagram, Facebook och LINE.

Vissa app-webbläsare öppnar OAuth-identitetsleverantörernas sidor i en ny WebView, vilket kan resultera i att sessionStorage rensas vid tillbakaomdirigering.

Den här releasen lägger till fallback till localStorage:

• Omdirigeringstillstånd lagras fortfarande i sessionStorage.
• En extra fallback för omdirigeringskontext sparas i localStorage.
• Vid callback återskapar Logto tillstånd från localStorage om sessionStorage saknas.
• Fallback-poster konsumeras vid läsning och tas bort automatiskt efter 10 minuter.
• Om båda lagringsplatserna är tomma visas ett error-meddelande för användaren.

Verifieringskod-anslutningen får begärande IP#

Åtgärdar ett problem där begärande IP inte skickades till anslutningar vid utskick av verifieringskoder.

Detta gör det möjligt för anslutningar att ta emot korrekt begärandekontext vid leverans av verifieringskod.