Logto 产品更新

亮点#

• 跨应用认证的稳定性：现在，同一浏览器会话中各应用的认证回调都已相互隔离，消除了由于共享 _interaction cookie 导致的相互干扰。
• 新的 webhook 事件 Identifier.Lockout：新增了一个 webhook 事件 Identifier.Lockout，当用户因多次登录失败被锁定时触发。
• 刷新令牌的可靠性提升：刷新令牌现在能够正确遵循配置的 180 天 TTL，修复了之前仅 14 天后过期的问题。

新功能与增强#

跨应用认证#

现在，多应用可以在同一浏览器会话中各自独立发起认证，互不影响。

• _interaction cookie 现在存储结构化映射 { [appId]: [interactionId] }。
• appId 通过 URL 参数或请求头进行传递，以实现隔离。
• 包含向后兼容的回退逻辑。

Webhooks#

新 webhook 事件： Identifier.Lockout

• 当用户因多次登录失败被锁定时触发，提升安全可观测性与自动化能力。

Bug 修复与稳定性提升#

刷新令牌 TTL 修复#

修复了由于内部提供方 grant TTL 限制导致刷新令牌 14 天后过期的问题。

• TTL 现在能够正确与配置的 180 天生命周期对齐。
• 刷新令牌有效期如预期最长可达 180 天。

多步注册流程中正确选择邮件验证码模板#

修复了在多步注册流程里，系统错误切换到 MFA 绑定模板的问题。

• 当邮箱/手机号标识符参与当前注册流程时，会正确选择注册模板。

SSO 连接器域名大小写不敏感匹配#

SSO 连接器的域名匹配现在大小写不敏感，提升了登录流程的可靠性。

• SSO 连接器域名在插入时会统一转为小写。
• 防止出现重复域名条目，并确保连接器查找准确。
• 登录流程中的域名匹配现在稳健地实现了大小写无关。