Logto 产品更新

我们很高兴地宣布 Logto v1.35.0，也就是 2025 年 12 月的版本更新！本次更新带来了更灵活的 reCAPTCHA 自定义选项、拓展了对第三方应用的支持，并提升了无密码认证的安全性。

reCAPTCHA 变得更加灵活#

通过域名自定义，任意地方使用 reCAPTCHA#

大家最常请求的功能之一就是能够在 Google 默认域名无法访问的地区使用 reCAPTCHA。在 v1.35.0 中，你现在可以自定义 reCAPTCHA 域名，例如 recaptcha.net，从而确保你的机器人防护在全球用户之间都能无缝工作。

复选框模式，让你选择验证方式#

reCAPTCHA Enterprise 用户现在可以在两种验证模式间切换：

• 隐形模式：这是默认的基于分数的验证，会在后台静默运行，为用户提供无干扰的体验，同时阻挡机器人。

• 复选框模式：经典的“我不是机器人”小组件，许多用户都见过。这种模式需要用户主动操作，适用于你希望用户明确了解验证步骤的场景。

只需要保证你选择的验证模式与你在 Google Cloud Console 配置的 reCAPTCHA 密钥类型相匹配，就可以立刻开始使用了。

第三方应用：现在也支持 SPA 和原生应用#

之前，Logto 只允许传统 Web 应用被指定为第三方应用。本次发布取消了这一限制，现在你可以创建第三方单页面应用（SPA）和原生应用了。

这一增强让 OAuth/OIDC 集成更加灵活，无论你是在构建合作伙伴生态系统、启用第三方集成，还是管理具有不同信任级别的多个客户端应用。

无密码认证的安全性升级#

客户端 IP 跟踪#

对于需要在无密码认证方面增强安全控制的组织，我们为连接器消息负载添加了客户端 IP 地址跟踪。SendMessageData 类型现在包含一个可选的 ip 字段，HTTP 邮件和短信连接器可以利用它进行：

• 限流：通过限制来自特定 IP 地址的请求，防止滥用
• 欺诈检测：基于 IP 地理位置或信誉识别可疑行为
• 审计日志：维护完善的日志以满足安全合规要求

更智能的邮件/短信模板处理#

我们改进了邮件和短信连接器的模板回退逻辑。如果没有找到针对特定场景的模板，系统现在会优雅地回退到通用模板。当地区特定模板不可用时，也会检查默认语言的通用模板，确保你的用户始终能收到格式正确的消息。

Bug 修复#

SAML 集成改进#

• 扩展的 relay state 支持：relay state 列现在支持最长 512 个字符（之前是 256），修复了像 Firebase 这样生成较长 relay state 值的服务商集成问题。
• 更友好的错误信息：SAML 认证流程的 API 现在提供更直接明了的错误消息，让排查问题更轻松。

API 参数修复#

修复了 SAML 应用创建 API 参数命名问题，避免了可能导致 filter 和 paywall 计算错误的情况。

开始升级#

准备好升级了吗？查看我们的升级指南获取详细步骤。

查看所有变更请参见 GitHub 发布页面。

有问题或想反馈？欢迎加入我们的 Discord 或在 GitHub 上提交 Issue。