Logto 產品更新

WebAuthn（passkeys）帳戶 API#

你現在可以在帳戶 API 中管理 WebAuthn passkey，包括：

1. 通過你的網站將 WebAuthn passkey 綁定到用戶帳戶。
2. 管理用戶帳戶中的 passkey。

我們已實作 Related Origin Requests，讓你可以在與 Logto 登入頁不同網域的你網站上管理 WebAuthn passkey。

想了解更多，請參閱 文件。

在自訂 JWT 存取用戶互動詳情#

在產生自訂 token 聲明（claims）時，現在可以通過 context.interaction 取得用戶互動資料：

範例用法：

從互動 context 讀取驗證紀錄。如果有企業 SSO 驗證紀錄，則將對應的企業 SSO 身分來源用戶資料加入額外的 token claims。

詳情請參考 自訂 token claims context。

改善項目#

• 更新 SSO 時間戳記追蹤：在 user_sso_identities 資料表增加了 updated_at 欄位
• 將使用者密碼摘要（digest）長度更改為 256，支援 Legacy（如 SHA512）雜湊演算法
• 在稽核日誌中隱藏 TOTP 密鑰
• Turnstile 小工具支援彈性尺寸，可自動縮放並填滿可用空間。

錯誤修正#

• 修正 SAML 應用程式 callback API 在驗證回應中正確處理 RelayState 參數
• 讓 Azure OIDC SSO 連接器的 access_token 為非必填欄位，先前 Azure OIDC 連接器嚴格要求 token 回傳中有 access token，導致僅回傳 ID token 的 Azure B2C 應用程式出現問題。
• 於 WebAuthn 註冊流程指定 displayName，修正可能發生的註冊錯誤。例如：在 Windows 11 上的 Chrome 使用「使用其他裝置」選項（二維碼掃描），若 displayName 為空會導致註冊失敗。
• 修正付款頁面在 iOS Safari 無法開啟的問題。