Logto 產品更新

Logto v1.36 現已推出。本次更新帶來萬用字元重定向 URI 支援、應用層級的 Token 交換控制，以及 OIDC 連接器可以信任未驗證電郵的能力。

萬用字元重定向 URI#

感謝社群貢獻者 @Arochka，你現在可以在重定向 URI 中使用萬用字元（*）。這對於如預覽部署這類動態環境的情境特別有幫助，因為這些 URL 通常是即時產生的。

Web 應用程式相關規則：

• 萬用字元可用於 http/https URI 的主機名稱及路徑名稱
• 萬用字元不能用於 scheme、port、query 或 hash
• 主機名稱樣式必須至少包含一個點（.），以防匹配範圍過廣

應用層級控制的 Token 交換#

Token 交換現已支援機器對機器應用，並且你可以細緻地控制哪些應用可以使用該功能。

• 應用組態新增 allowTokenExchange 設定
• 新建立的應用預設不啟用 Token 交換
• 現有第一方應用（傳統、原生、SPA）為維持相容性預設啟用
• 第三方應用無法使用 Token 交換
• 為公開客戶端啟用時，管理台會顯示風險提示

OIDC 連接器信任未驗證電郵#

有些身份提供者不會傳回 email_verified，或即使電郵有效也會傳回為 false。你現在可以設定 OIDC 社交連接器和企業單一登入連接器，同步電郵時無論驗證狀態都可進行。

在連接器設定中啟用 trustUnverifiedEmail（預設為 false）。此選項於管理台的 OIDC 和 Azure AD 單一登入連接器可設置。

社交登入跳過身份收集#

Apple App Store 指引要求「使用 Apple 登入」時不可要求 Apple 已提供以外的資訊。為了協助合規，我們在社交登入期間新增了可以跳過強制收集註冊身份的選項。

你可以在「登入體驗」設定的「社交登入」區塊找到「要求用戶補充註冊身份」的勾選框。

API 改進#

用戶角色 API 現會回傳結果

• POST /users/:userId/roles 會回傳 { roleIds, addedRoleIds }，表示哪些角色是新指派的
• PUT /users/:userId/roles 會回傳 { roleIds }，確定最終狀態

@logto/api 新增 createApiClient 函式

你可以用自訂取得 Token 的邏輯，建立型別安全的 API 客戶端來支援自定身份驗證流程。

問題修正#

• Postgres 逾時：設定 DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT 以兼容 PgBouncer/RDS Proxy
• 企業單一登入錯誤：修正 SSO 帳戶不存在時的錯誤代碼
• JIT 電郵網域：移除分頁限制，管理台可顯示全部網域
• 直接登入：修正在自動登入時重複發送請求的問題
• 稽核日誌篩選：修正導致篩選結果為空的錯字