Logto 產品更新：合規狀態、自訂 JWT、API 資源用於組織角色等等

合規狀態#

Logto Cloud 現在通過了合規自動化平台的所有 SOC 2 檢查。我們已經安排了 SOC 2 Type I 審核，並正在努力推進 SOC 2 Type II 審核。

自訂 JWT#

JWT 訪問令牌現在可以使用自訂 JavaScript 代碼片段來添加額外的聲明進行自訂。當需要在令牌中包含自訂數據以便與其他系統兼容時，這個功能非常有用。

要使用此功能，請導航至控制台的 "Custom JWT" 標籤。用戶與機器對機器（M2M）的令牌都可以自訂。

在部署更改之前，你可以使用 "Run test" 按鈕查看令牌在添加自訂聲明後的樣子。

詳見 🎫 Custom JWT claims 以獲取更多信息。

API 資源用於組織角色#

你現在可以從 API 資源為組織角色指派許可權（scope）。就像其他在組織模板中的許可權一樣，這些許可權是組織級別的，這意味著它們只適用於特定組織。

讓我們看看一個例子：

• 有一個名為 https://shopping.api/ 的 API 資源。
• 該 API 資源有兩個範圍：read 和 write。
• 有兩個組織角色：admin 和 user。
• admin 角色具有 read 和 write 範圍；user 角色僅具有 read 範圍。
• 用戶 Alice 被分配為組織 foo 的 admin 角色，並在組織 bar 中擔任 user 角色。

當 Alice 嘗試為 https://shopping.api/ 資源交換 組織令牌 時，她將根據她請求令牌的組織獲得相應範圍的令牌。

對於 foo 組織，Alice 將獲得帶有 read 和 write 範圍的令牌。對於 bar 組織，她將獲得僅有 read 範圍的令牌。

詳見 🏢 Organizations (Multi-tenancy) 獲取對組織的全面介紹。

第三方應用許可權#

組織 API 資源也可用於配置第三方應用的許可權。在配置第三方應用的許可權時用戶將被提示選擇一個組織。

組織自訂數據#

你可以通過以下方式將更多與組織相關的數據保存到組織級別的 customData 欄位中：

• 在控制台組織詳情頁編輯。
• 在使用組織管理 API 時指定 customData 欄位。

連接器#

• 添加了 Hugging Face 連接器。
• GitHub 連接器現在將 user:email 作為默認範圍的一部分，以獲取 GitHub 帳戶的私人電子郵件地址列表。
  • 如果用戶未為其 GitHub 帳戶設置公共電子郵件，它將在私人電子郵件地址中選擇已驗證的主電子郵件作為備用。
• 在 feishu 連接器中刪除了電話號碼前的加號 (#5801)。感謝 @kamto7。

改進#

• 添加對 Redis 集群的支持以及 Redis 連接的額外 TLS 選項 (#5619)。感謝 @alekitto。
• OIDC 和 OAuth 2 連接器現在支持 client_secret_basic 和 client_secret_jwt 客戶端身份驗證方法用於令牌端點。
• 當用戶通過管理 API 被刪除或停用時，他們將在 Logto 中簽出，他們的會話將立即無效。
• 支持用逗號分隔的 resource 參數，因為某些庫不支持資源數組。
• 添加了一個 API，用於根據用戶組織角色獲取用戶組織範圍 (
  GET /api/organizations/:id/users/:userId/scopes
  )。
• 添加了 Java Spring Boot 網頁集成指南。
• 在 OIDC 同意頁面中添加了 zh-cn 語句 (#5606)。感謝 @the-pawn-2017。

修正#

• 組織邀請 API 應該不區分大小寫地處理被邀請者的電子郵件。
• 管理 API 在生產環境中不會對不在 OpenAPI 規範中列出的狀態碼返回 500。
• 當 Logto 試圖將訪問令牌授予缺乏必要許可權的用戶時，尤其是授予與組織相關的資源時，返回 403 而不是 400。
• 修正了向原生容器（例如 iOS 中的 WKWebView）發送社交登錄回調的錯誤。
• 修正了 SSO 註冊鉤子事件未觸發的新用戶問題。
• 修正了如果指示器不帶有斜杠或路徑名則 API 資源指示器不起作用的問題。