Svenska
  • release

Logto produktuppdateringar

Logto v1.38.0 är här. Denna version introducerar stöd för OAuth 2.0 Device Authorization Grant, passkey-inloggning, adaptiv MFA, hantering av sessioner och beviljanden, samt mer flexibel OIDC-konfiguration för OSS-distributioner.

Charles
Charles
Developer

Sluta slösa veckor på användarautentisering
Lansera säkra appar snabbare med Logto. Integrera användarautentisering på några minuter och fokusera på din kärnprodukt.
Kom igång
Product screenshot

Vi är glada att kunna meddela Logto v1.38.0, vår mars 2026-version! Denna uppdatering lägger till device flow för appar med begränsad inmatning, introducerar passkey-inloggning och förbättringar för adaptiv MFA, samt utökar session-, grant- och hyresnivåinställningar över hela Logto.

Device flow för appar med begränsad inmatning

En av de största nyheterna i denna version är stöd för OAuth 2.0 Device Authorization Grant. Detta gör det mycket enklare att bygga autentiseringsflöden för enheter som inte har ett fullständigt tangentbord eller webbläsare, som smarta TV-apparater, CLI-verktyg, spelkonsoler och IoT-enheter.

Med device flow kan användare:

  • Starta inloggning på enheten
  • Öppna en verifierings-URL på en annan enhet
  • Ange en kort användarkod
  • Slutföra autentiseringen där
  • Återvända till den ursprungliga enheten med utfärdade tokens

Vi har även lagt till fullständigt Console-stöd för device flow-applikationer. Du kan nu skapa device flow-appar genom att välja Input-limited app / CLI under Native apps, eller genom att välja Device flow som authorizationsflöde när du skapar en app manuellt. Applikationsinställningssidan innehåller också en inbyggd guide och demo för att hjälpa dig komma igång.

Passkey-inloggning blir ett förstahandsflöde

Denna version introducerar passkey-inloggning som en fullständig autentiseringsmetod i Logto.

Passkey-inloggning ger en snabbare, lösenordsfri upplevelse för återkommande användare samtidigt som kontosäkerheten förbättras. Det fungerar med välkända plattformsautentiserare som Face ID, Touch ID och Windows Hello.

Vi har lagt till stöd för flera användarflöden baserade på passkey:

  • En dedikerad Fortsätt med passkey-knapp för omedelbar inloggning
  • Ett identifierar-först-flöde som prioriterar passkey-verifiering innan man faller tillbaka till lösenord eller verifieringskod
  • Stöd för webbläsarens autofyll så att användare kan välja en sparad passkey direkt från identifieringsinmatningen
  • Passkey-bindning under registrering för nya användare
  • Återanvända en befintlig WebAuthn-MFA-referens för passkey-inloggning utan ytterligare registreringssteg

För mer information, se vår dokumentation för passkey-inloggning.

Adaptiv MFA och bättre MFA-vägledning

Denna version fortsätter vår satsning på moderna MFA-upplevelser med två större förbättringar.

Adaptiv MFA

Adaptiv MFA stöds nu i Logto. När den är aktiverad utvärderar inloggningsflödet adaptiva MFA-regler mot den aktuella inloggningskontexten och kräver MFA när dessa regler utlöses.

Detta inkluderar även:

  • Konfiguration av adaptiv MFA i Console
  • Bestående inloggningskontext i interaktionsdata
  • Tillgång till context.interaction.signInContext i custom-claims-skript
  • En ny webhook-händelse: PostSignInAdaptiveMfaTriggered

Frivillig MFA-onboarding

För användare som inte måste aktivera MFA, kan Logto nu visa en dedikerad onboarding-sida efter verifiering av inloggningsuppgifter, där de får frågan om de vill aktivera MFA för bättre skydd.

Detta är särskilt användbart tillsammans med passkey-inloggning, där en användare kanske vill använda passkeys för inloggning utan att nödvändigtvis aktivera dem som en MFA-faktor samtidigt.

Hantering av sessioner och beviljanden via API:er och Console

Denna version lägger till ett omfattande utbud av kontroller för konton och administratörer kring användarsessioner och auktoriserade applikationer.

Hantering av användarsessioner

Logto stöder nu sessionshantering i både konto-API:er och hanterings-API:er. Du kan lista aktiva sessioner, granska sessionsdetaljer och återkalla sessioner med valfri återkallelse av beviljanden.

Vi har också introducerat:

  • En ny session-behörighet i Account Center-inställningarna med alternativen off, readOnly och edit
  • Ett nytt urn:logto:scope:sessions användarområde för API-åtkomst relaterad till sessioner
  • Rikare sessionskontext inklusive IP, användaragent och GEO-position när det är tillgängligt

På Console-sidan innefattar användardetaljer nu en sektion för Aktiva sessioner och en dedikerad sida för sessionsdetaljer med stöd för att återkalla sessioner.

Hantering av beviljanden för auktoriserade applikationer

Logto stöder nu listning och återkallande av användarens applikationsbeviljanden i både konto- och hanterings-API:er.

Denna version introducerar även sektionen Auktoriserade tredjeparts-appar på användardetaljsidan i Console. Administratörer kan nu se aktiva tredjepartsauktoriseringar, granska metadata som appnamn och skapelsedatum samt återkalla åtkomst direkt i användargränssnittet.

Begränsning av samtidiga enheter per app

Appar kan nu definiera ett värde för maxAllowedGrants i customClientMetadata för att begränsa hur många aktiva beviljanden en användare kan ha för en specifik app. När den specificerade gränsen nås, återkallar Logto automatiskt de äldsta beviljandena.

Console inkluderar även en ny sektion Begränsning av samtidiga enheter i applikationsdetaljer så att detta kan konfigureras visuellt.

Fler OSS-kontroller för OIDC-inställningar

För OSS-användare gör denna version OIDC-inställningarna mer konfigurerbara och lättare att hantera.

Du kan nu definiera oidc.session.ttl i logto-config för att anpassa OIDC-leverantörens sessionslivslängd (TTL) i sekunder. Om den inte anges är standardvärdet 14 dagar.

Vi har även lagt till:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

På Console-sidan får OSS nu en ny Hyresgäst -> Inställningar-sida, med en OIDC-inställningar-flik som ersätter den gamla sidan för signeringsnycklar. Den nya sidan har även ett fält för Maximal sessionstid för att konfigurera sessionens TTL i dagar.

Om du kör OSS, kom ihåg att starta om tjänsten efter ändringar i konfigurationen så att nya OIDC-inställningar laddas. Om du vill att konfigurationsändringar ska börja gälla automatiskt, överväg att aktivera central Redis-cache.

Förbättringar i Account Center

Det färdigpaketerade Account Center får också flera användbara förbättringar i denna version.

Användare kan nu:

  • Byta autentiseringsapp via en dedikerad /authenticator-app/replace-rutt
  • Använda identifier URL-parametern för att förifylla identifieringsfält
  • Åsidosätta det inbyggda språket i Account Center med ui_locales-URL-parametern

Vi har även förbättrat lösenordsformulär för bättre webbläsar-autofyll och kompatibilitet med lösenordshanterare.

API-förbättringar för utvecklare

För team som migrerar användare till Logto stöder nu GET /users och GET /users/:userId-endpunkterna en parameter: includePasswordHash. När den är aktiverad inkluderar svaret även passwordDigest och passwordAlgorithm, vilket kan hjälpa till i migreringsflöden som kräver råa lösenordshashar.

Vi har även lagt till stöd för tokenutbyte i delegation mellan tjänster. Logto kan nu byta ut opaka eller JWT-access tokens mot nya access tokens med andra målgrupper via standarden urn:ietf:params:oauth:token-type:access_token.

Buggfixar

Denna version inkluderar flera stabilitets- och kompatibilitetsförbättringar:

  • MFA-verifieringsrutter för TOTP, WebAuthn och reservkoder rapporterar nu aktivitet till Sentinel, vilket gör det enklare att upptäcka och isolera upprepade misslyckanden.
  • OIDC-adapterfrågor för findByUid och findByUserCode använder nu bokstavliga JSONB-nycklar så att expressionsindex fungerar bättre vid generiska förberedda planer.
  • Initialisering av Postgres-poolen försöker nu igen vid tillfälliga startfel i anslutning.
  • Äldre lösenordsverifiering stöder nu PBKDF2-saltvärden med prefixet hex: vid användarimport.
  • Prestandan för tokenutbyte har förbättrats genom cachning av minimala OIDC-resursuppslagningar och förgenerering av beviljande-ID vid tokenutfärdande.
  • Twilio SMS-formatteringen för To normaliseras nu för icke-E.164-nummer genom att säkerställa ett ledande +.

Brytande ändringar

Denna version innehåller en brytande ändring i connector toolkit.

Den länge avvecklade mockSmsVerificationCodeFileName-exporten har tagits bort från @logto/connector-kit.

Vi har även uppdaterat filsökvägarna som används av mock connectors för att lagra loggade meddelandeposter:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

Om dina lokala arbetsflöden eller Docker-baserade arbetsflöden är beroende av de gamla sökvägarna måste du uppdatera dem.

Nya bidragsgivare

Tack till våra nya bidragsgivare som hjälpt till att förbättra Logto:

Kom igång

Redan redo att uppgradera? Kolla in vår uppgraderingsguide för steg-för-steg-instruktioner.

För en komplett lista över ändringar, se GitHub-släppssidan.

Har du frågor eller feedback? Gå med oss på Discord eller öppna ett ärende på GitHub.