Logto 产品更新

Logto v1.36 已发布。本次版本带来了通配符重定向 URI 支持、应用级别的 Token 交换控制，以及在 OIDC 连接器中信任未验证邮箱的能力。

通配符重定向 URI#

感谢社区贡献者 @Arochka，你现在可以在重定向 URI 中使用通配符（*）模式。这对于像预览部署这样动态生成 URL 的场景特别有用。

针对 Web 应用的规则：

• 通配符可用于 http/https URI 的主机名和路径名中
• 通配符不能用于协议、端口、查询参数或哈希
• 主机名模式必须至少包含一个点，以防止匹配范围过大

具备应用级控制的 Token 交换#

Token 交换现在可用于机器对机器的应用，并且你可以细粒度地控制哪些应用可以使用它。

• 应用配置中新增加了 allowTokenExchange 设置
• 新应用默认禁用 Token 交换
• 现有的一方应用（传统、原生、SPA）为兼容性保留默认启用
• 三方应用不能使用 Token 交换
• 对于公共客户端，控制台在启用时会显示风险警告

OIDC 连接器信任未验证邮箱#

部分身份提供方不会返回 email_verified 或返回为 false，即使邮箱是有效的。现在你可以在 OIDC 社交连接器和企业 SSO 连接器中配置同步邮箱，无论验证状态如何。

在连接器配置中启用 trustUnverifiedEmail（默认为 false）。该选项可以在 OIDC 和 Azure AD SSO 连接器的管理控制台进行设置。

社交登录跳过标识符收集#

Apple App Store 指南要求“通过 Apple 登录”不能要求提供 Apple 未返回的额外信息。为此，我们新增了一个选项，允许在社交登录期间跳过强制标识符收集。

在你的登录体验设置中的社交登录部分，找到“要求用户补全注册时缺失的标识符”勾选框。

API 改进#

用户角色 API 现可返回结果

• POST /users/:userId/roles 返回 { roleIds, addedRoleIds }，显示哪些角色是被新分配的
• PUT /users/:userId/roles 返回 { roleIds }，用于确认最终状态

在 @logto/api 中新增 createApiClient 方法

你可以通过自定义 Token 获取逻辑，创建类型安全的 API 客户端，用于定制化鉴权流程。

Bug 修复#

• Postgres 超时：为 PgBouncer/RDS Proxy 兼容性设置 DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT
• 企业 SSO 错误：修复 SSO 账号不存在时的错误码问题
• JIT 邮箱域名：移除了分页限制，所有域名都能在控制台完整展示
• Direct 登录：修复了自动登录多次请求的问题
• 审计日志筛选：修复了因拼写错误导致筛选结果为空的问题