繁體中文(香港)
  • release

Logto 產品更新

Logto v1.38.0 已經推出。此版本帶來對 OAuth 2.0 裝置授權授權 (Device Authorization Grant) 的支援、通行金鑰登入、自適應多重身份認證(MFA)、工作階段及授權管理,以及對開源部署的 OIDC 設定有更靈活的控制。

Charles
Charles
Developer

Stop wasting weeks on user auth
Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.
Get started
Product screenshot

我們很高興宣布 Logto v1.38.0,這是我們 2026 年 3 月的版本!這次更新為輸入有限的應用程式新增裝置流程,加入通行金鑰登入及自適應 MFA 改進,並在 Logto 各處擴展了工作階段、授權和租戶層級設定的控制。

輸入有限應用程式的裝置流程

本次發佈一大亮點是支援 OAuth 2.0 裝置授權授權(Device Authorization Grant)。這大大降低了建構無法完整使用鍵盤或瀏覽器體驗的裝置(例如智能電視、CLI 工具、遊戲主機、物聯網裝置)的驗證流程難度。

透過裝置流程,使用者可以:

  • 在該裝置上啟動登入
  • 在另一個裝置上開啟驗證網址
  • 輸入簡短用戶碼
  • 完成認證
  • 回到原裝置並獲發令牌

我們亦為裝置流程應用帶來完整的 Console 支援。現在你可以於本地應用(Native apps)下選擇 輸入受限的 app / CLI,或在手動建立 app 時選擇 裝置流程 作為授權流程來建立相關應用。應用設定頁同時提供內建指南和示範協助你開始。

通行金鑰登入升格為主流流程

本次發佈將通行金鑰登入納入 Logto 的完整驗證方式。

通行金鑰登入可為返回用戶帶來更快、無密碼登入體驗,同時強化帳戶安全。它支援熟悉的平台認證器,例如 Face ID、Touch ID 及 Windows Hello。

我們為各種通行金鑰用戶流程帶來多項支援:

  • 獨立的 用通行金鑰繼續 按鈕,可即時登入
  • 識別碼優先流程,先檢查通行金鑰,才回退至密碼或驗證碼
  • 支援瀏覽器自動填充,使用者可直接從識別碼輸入選擇儲存的通行金鑰
  • 新用戶註冊時綁定通行金鑰
  • 不須再次註冊即可重用現有 WebAuthn MFA 憑證進行通行金鑰登入

更多資訊,請參閱我們的 通行金鑰登入說明文件

自適應 MFA 及 MFA 引導改善

本次發佈續投資於現代化 MFA 體驗,推出兩大改進:

自適應 MFA

Logto 現已支援自適應 MFA。啟用後,登入流程會根據當前登入情境套用自適應 MFA 規則,並於規則觸發時需要 MFA。

同時包括:

  • Console 的自適應 MFA 設定
  • 互動數據中持久儲存登入情境
  • 可以於自訂 claims 腳本裡存取 context.interaction.signInContext
  • 新增 PostSignInAdaptiveMfaTriggered webhook 事件

選擇性 MFA 引導

針對無需強制開啟 MFA 的用戶,Logto 現會於憑證驗證後顯示專屬的引導頁面,提示他們是否開啟 MFA 增強保護。

這特別適合配合通行金鑰登入,因為用戶可能想先用通行金鑰登入,而未必立即做 MFA 綁定。

跨 API 與 Console 的會話和授權管理

此版本在使用者會話及授權應用的帳戶和管理控制上有重大更新。

用戶會話管理

Logto 現支援於帳戶 API 及管理 API 中管理會話。你可以列出有效會話、檢查細節和回收(撤銷)會話,並可選擇連帶撤銷授權。

同時帶來:

  • 帳戶中心設定新增 session 權限,可選擇 offreadOnlyedit
  • 使用者範疇 urn:logto:scope:sessions,方便使用帳戶 API 存取會話相關資料
  • 更豐富的會話上下文,如 IP、用戶端、地理位置(如有)

Console 側,使用者詳情頁新增 有效會話 部份,以及專屬會話詳情頁,可支援撤銷。

已授權應用授權管理

Logto 現支援於帳戶及管理 API 列出及撤銷應用授權。

同時在 Console 用戶詳情頁新增 已授權第三方應用 部份。管理員可見現時活躍的第三方授權、檢視應用名稱及創建時間等元數據,直接於 UI 撤銷存取權限。

應用層級裝置並發人數上限

應用現可於 customClientMetadata 設置 maxAllowedGrants 值,以限制單一用戶於同一應用可保留多少活躍授權。當超過設定值時,Logto 會自動撤銷最舊的授權。

Console 亦新增 並發裝置上限 配置區,方便視覺化操作。

更多 OIDC 設定管控給 OSS 用戶

對 OSS 用戶,本次發佈讓 OIDC 設定更彈性、易於管理。

你現在可於 logto-config 設置 oidc.session.ttl,自訂 OIDC 提供者的會話 TTL (秒)。如未設置則預設為 14 日。

同時新增:

  • GET /api/configs/oidc/session
  • PATCH /api/configs/oidc/session

Console 側,OSS 用戶會見到全新 租戶 -> 設定 頁面,並有 OIDC 設定 分頁,取代舊的簽署金鑰頁。新頁同時加設 會話存活最長時間 欄位,方便以日數管理 TTL。

如果你正運行 OSS,記得於設定更動後重啟服務以載入新 OIDC 設定。如想更動能自動生效,可考慮啟用 central Redis 緩存

帳戶中心體驗提升

即用型帳戶中心在本次發佈亦有多項實用升級:

用戶現在可以:

  • /authenticator-app/replace 路徑更換認證器 app
  • identifier URL 參數預先填寫識別碼欄位
  • ui_locales URL 參數覆寫內建語言

同時我們改進了密碼表單的瀏覽器自動填充及密碼管理器相容性。

針對開發者的 API 改進

如團隊要遷移用戶進 Logto,GET /usersGET /users/:userId 端點現支援 includePasswordHash 查詢參數。啟用時回應會回傳 passwordDigestpasswordAlgorithm,便利需要密碼雜湊資料的遷移流程。

我們亦支援在服務對服務授權場境下進行存取權杖交換。Logto 現可按標準 urn:ietf:params:oauth:token-type:access_token 權杖型別,將 opaque 或 JWT 存取權杖交換成不同 audience 的新權杖。

Bug 修正

此版本亦帶來多項穩定性及相容性改進:

  • TOTP、WebAuthn 及備用碼的 MFA 驗證路由現會回報活動至 Sentinel,讓重複失敗更容易追蹤及隔離。
  • OIDC adapter 對 findByUidfindByUserCode 現用 literal JSONB key,方便 prepared generic plans 提升查詢效能。
  • Postgres 連線池初始化現會於啟動瞬時性連線錯誤時重試。
  • 舊版密碼驗證現支援 hex: 前綴 PBKDF2 salt,用於用戶匯入。
  • 令牌交換效能提升,因查詢最小 OIDC 資源現可緩存並預產生 grant ID。
  • Twilio SMS To 格式現會對非 E.164 號碼標準化,確保開頭帶有 +

重大變更

此版本帶來連接器工具包的重大 API 變更:

早前已棄用的 mockSmsVerificationCodeFileName 輸出已從 @logto/connector-kit 移除。

我們同時更新了 mock 連接器所用訊息紀錄檔案路徑:

  • /tmp/logto_mock_email_record.txt -> /tmp/logto/mock_email_record.txt
  • /tmp/logto_mock_sms_record.txt -> /tmp/logto/mock_sms_record.txt

如果你本地或 Docker 流程依賴舊路徑,記得更新。

新貢獻者

感謝新貢獻者協助改進 Logto:

開始使用

準備好升級了嗎?請參見我們的 升級指南 ,了解逐步教學。

完整更改列表,請見 GitHub 發佈頁

有問題或意見?歡迎加入我們的 Discord 或於 GitHub 提問!