Logto ürün güncellemeleri

Logto v1.39.0’ı sunmaktan heyecan duyuyoruz! Bu sürüm; daha güçlü operasyonel güvenlik, daha esnek token özelleştirmesi ve gelişmiş son kullanıcı hesap güvenliği odaklıdır. Bu versiyon; özel imzalama anahtarı rotasyonu için ek süre, özel JWT betikleri için yapılandırılabilir hata yönetimi, yeni bir Hesap Merkezi güvenlik sayfası, Meta Cloud API üzerinden WhatsApp bağlantı desteği ve kimlik doğrulama akışlarında çeşitli güvenlik ve güvenilirlik iyileştirmeleri içeriyor.

Öne Çıkanlar#

• Özel imzalama anahtarı rotasyonu için ek süre: Logto artık özel imzalama anahtarları döndürülürken bir ek süreyi destekliyor, böylece istemciler önbellekteki JWKS’leri kesinti olmadan yenileyebilir.
• Özel JWT betik hata işleme: Erişim tokenı ve istemci kimlik bilgilerinin JWT özelleştirmesi artık betik başarısız olduğunda token verilişini engelleyebilir.
• Hesap Merkezi güvenlik sayfası: Son kullanıcılar artık sosyal hesap bağlantılarını yönetebilir, MFA ve hesap silme işlemlerini Hesap Merkezi’nden yapabilirler.
• WhatsApp bağlantısı: Meta Cloud API ile kullanılabilen yeni bir WhatsApp SMS bağlantısı mevcut.
• Güvenlik ve uyumluluk düzeltmeleri: Şifremi unuttum doğrulama yanıtları artık birleştirildi – hesap sıralama riskini azaltıyor ve uygulama içi tarayıcı sosyal/SSO yönlendirmeleri daha dayanıklı.

Yeni Özellikler & İyileştirmeler#

Özel imzalama anahtarı rotasyonu için ek süre#

Logto artık özel imzalama anahtarı rotasyonunda bir ek sürece sahip.

Bunu aşağıdaki yollarla yapılandırabilirsiniz:

• PRIVATE_KEY_ROTATION_GRACE_PERIOD ortam değişkeni.
• --gracePeriod CLI seçeneği.

Ek süre boyunca:

• Yeni oluşturulan imzalama anahtarı Sonraki olarak işaretlenir.
• Mevcut imzalama anahtarı Mevcut olarak aktif kalır.
• İstemciler, yeni anahtar aktif olmadan önce önbellekteki JWKS’leri yenileme şansına sahiptir.

Ek süre sona erdiğinde:

• Yeni özel imzalama anahtarı Mevcut olarak aktarılır.
• Eski anahtar Önceki olarak işaretlenir.

Bu, daha sorunsuz bir anahtar değiştirme süreci sunar ve eski JWKS önbelleklerinden kaynaklanan kimlik doğrulama hatalarını önlemeye yardımcı olur.

Dokümantasyon: İmzalama anahtarlarını döndürme

Özel JWT betik hata işleme#

Logto artık erişim tokenı ve istemci kimlik bilgileri akışlarında kullanılan özel JWT betikleri için yapılandırılabilir hata yönetimini destekliyor.

Değişiklikler:

• Özel JWT betikleri artık çalıştırmada başarısız olursa token verilişini engelleyebilir.
• api.denyAccess() hâlâ bir access_denied cevabı olarak korunur.
• Diğer bloklama modundaki betik hataları, yerelleştirilmiş invalid_request cevabı olarak döner.
• Konsolda, ilgili davranışı yapılandırmak için özel bir Hata işleme sekmesi eklendi.
• Yeni oluşturulan betikler varsayılan olarak blockIssuanceOnError değerini etkin yapar.
• Kayıtlı bir değeri olmayan mevcut betikler eski devre dışı davranışı korur.
• İlgili Konsol rehberi, ifadeler, şemalar ve entegrasyon kapsamı güncellendi.

Bu özellik, geliştiricilerin token özelleştirme hatalarında güvenlik gereksinimlerine göre açık veya kapalı şekilde başarısız olup olmayacağını seçmesine yardımcı olur.

Hesap Merkezi güvenlik sayfası#

Bu sürümün bir parçası olarak hazır gelen Hesap Merkezi’ne yeni bir güvenlik sayfası eklendi.

Son kullanıcılar şimdi /account/security adresinde hesap güvenliğini yönetebilir:

• Sosyal hesap ekleme ve kaldırma.
• MFA 2 aşamalı doğrulama.
• Hesap silme.

Konsol desteği:

• Giriş deneyiminde Hesap Merkezi ayarları artık silme adresi (delete-account URL) alanını gösteriyor.
• Konsol, Hesap Merkezi ve önceden yapılandırılmış sosyal arayüz girişlerini öne çıkarıyor.

Meta Cloud API ile WhatsApp bağlantısı#

Mesaj göndermek için yeni bir WhatsApp bağlantısı eklendi.

Bu, resmi Meta Cloud API entegrasyonu ile WhatsApp tabanlı SMS/doğrulama kodu teslim senaryolarını mümkün kılar.

Organizasyon atama API yanıt gövdeleri#

Organizasyon kullanıcı ve rol atama API’leri artık yanıt gövdeleri döndürüyor.

Güncellenen uç noktalar:

• POST /organizations/:id/users artık istekle gönderilen kullanıcı kimliklerini yineleyen { userIds: string[] } döndürür.
• POST /organizations/:id/users/:userId/roles artık son yedeklenmiş ve atanmış rol kimliklerini içeren { organizationRoleIds: string[] } döndürür, verilen rol adlarından çözülen kimlikler dahil.

Konsol tema token güncellemesi#

Konsol temaları artık hem açık hem koyu mod için eksik olan --color-overlay-primary-subtle token’ını içeriyor.

Hata Düzeltmeleri & Kararlılık#

Şifremi unuttum doğrulama sıralama koruması#

Şifremi unuttum doğrulaması artık birleştirilmiş verification_code.code_mismatch hatası döndürür.

Bu, e-posta veya telefon numarasının var olup olmadığını farklı hata yanıtlarıyla ifşa etmeyi engeller.

Sosyal ve SSO yönlendirmeleri uygulama içi tarayıcılarda#

Instagram, Facebook ve LINE gibi uygulama içi tarayıcılarda sosyal ve SSO yönlendirmelerinin güvenilirliği artırıldı.

Bazı uygulama içi tarayıcılar, OAuth kimlik sağlayıcı sayfalarını yeni bir WebView’da açar. Bu, geri yönlendirme sonrası sessionStorage’ın kaybolmasına neden olabilir.

Bu sürümde bir localStorage yedeği eklendi:

• Yönlendirme durumu yine sessionStorage’da saklanır.
• Yedek bir yönlendirme bağlamı paketi ayrıca localStorage’da saklanır.
• Geri dönüşte, Logto eksikse durumu localStorage’dan geri yükler.
• Yedek girişler okunduğunda silinir ve 10 dakika sonra otomatik temizlenir.
• Her iki depolama alanı boşsa kullanıcı bir hata bildirimi (toast) görür.

Doğrulama kodu bağlantısı istek IP’si#

Doğrulama kodları gönderilirken istek IP’sinin bağlantılara aktarılmaması sorunu giderildi.

Bu, bağlantıların doğrulama kodu teslimatı için doğru istek bağlamını almasını sağlar.