Logto 產品更新

我們很高興宣布 Logto v1.35.0，即我們 2025 年 12 月的發佈版本！這次更新帶來了更靈活的 reCAPTCHA 自訂選項、更完善的第三方應用支援，以及提升了無密碼驗證的安全功能。

reCAPTCHA 更靈活#

自訂網域，reCAPTCHA 隨處可用#

一直以來，大家最常要求的功能之一，就是能在 Google 預設網域不可訪問的地區使用 reCAPTCHA。從 v1.35.0 起，你可以自訂 reCAPTCHA 的網域，例如改用 recaptcha.net，確保你的機器人防護方案能夠在全球無縫運作。

選擇驗證樣式，加入核取方塊模式#

reCAPTCHA Enterprise 用戶現在可以在兩種驗證模式之間選擇：

• 隱形模式：預設的分數制驗證，在背景靜默運行，為用戶帶來無縫的體驗，同時防禦機器人。

• 核取方塊模式：經典的「我不是機器人」小工具，許多用戶對這個很熟悉。這模式可以讓用戶明確參與驗證步驟，更容易讓用戶意識到驗證流程。

只需要確保你的驗證模式與在 Google Cloud Console 配置的 reCAPTCHA 金鑰類型相符，就可以輕鬆啟用。

第三方應用：SPA 與原生應用也支援了#

過去，在 Logto 中只有傳統網頁應用能設定為第三方應用。現在不再受限，你可以創建第三方單頁應用（SPA）和原生應用。

此改進為 OAuth/OIDC 整合場景提供了更高彈性。不論你是在構建夥伴生態、啟用第三方整合，還是管理多個信任等級不同的客戶端應用，都能獲得更多選擇。

無密碼驗證安全性升級#

客戶端 IP 追蹤#

針對需要加強無密碼驗證安全管控的組織，我們在連接器訊息載荷中加入了客戶端 IP 地址追蹤。SendMessageData 類型現在多了一個可選的 ip 欄位，HTTP 郵件和 SMS 連接器可用於：

• 速率限制：限制特定 IP 地址的請求次數，防止濫用
• 詐欺偵測：根據 IP 地理位置或信譽標記可疑行為
• 稽核日誌：維護完整的安全日誌以滿足合規需求

更智能的郵件／短信模板處理#

我們改善了 email 和 SMS 連接器的模板備援邏輯。如果找不到針對用途的專用模板，系統會自動回退使用通用模板。當找不到特定語言模板時，也會回退到預設語言的通用模板，確保用戶始終收到格式正確的訊息。

錯誤修正#

SAML 整合改進#

• 提升 relay state 支援：relay state 欄位現在支援最多 512 個字符（原本為 256），解決如 Firebase 等產生更長 relay state 值的服務供應商整合問題。
• 更清晰的錯誤訊息：SAML 認證流程 API 現在提供更直接易懂的錯誤訊息，方便故障排查。

API 參數修正#

修正了 SAML 應用創建 API 的參數命名錯誤，避免造成篩選與付費牆計算出錯。

開始升級#

準備好升級了嗎？查看我們的升級指南，獲取逐步操作教學。

完整變更清單，請參見 GitHub 發布頁面。

如有疑問或建議，歡迎加入我們的 Discord 或到 GitHub 提 issue。