Logto 產品更新

Logto v1.36 上線了。本次版本帶來了萬用字元重導向 URI 支援、應用程式等級的 Token 交換控制，還有在 OIDC 連接器信任未驗證 Email 的能力。

萬用字元重導向 URI#

感謝社群貢獻者 @Arochka，你現在可以在重導向 URI 中使用萬用字元 (*)。這對於如預覽部署這類動態產生 URL 的環境來說非常實用。

網頁應用程式的規則：

• 萬用字元可以用在 http/https URI 的 hostname 和 pathname 上
• scheme、port、query 或 hash 不允許有萬用字元
• Hostname 規則必須至少包含一個點以避免匹配範圍過大

應用層級 Token 交換#

Token 交換現在可用於機器對機器(M2M)應用，且你可以細緻控制哪些應用可使用此功能。

• 新增 allowTokenExchange 應用程式設定
• 新建立的應用程式預設停用 Token 交換
• 現有官方應用（傳統、原生、SPA）為相容性預設啟用
• 第三方應用無法使用 Token 交換
• 在主控台啟用公開用戶端時會出現風險提示

OIDC 連接器信任未驗證 Email#

部分身份提供者不會回傳 email_verified 或即使 Email 合法也回傳 false。現在你可以設定 OIDC 社群連接器和企業 SSO 連接器同步 Email
不論驗證狀態為何。

在連接器設定啟用 trustUnverifiedEmail（預設為 false）。此選項在 OIDC 與 Azure AD SSO 連接器的管理主控台均可找到。

社群登入跳過識別訊息收集#

Apple App Store 指南要求「使用 Apple 登入」時不可要求 Apple 以外的額外資訊。為此，我們新增了可在社群登入時跳過必要識別收集的選項。

在登入體驗設定中的社群登入區塊，能找到「要求用戶補齊缺失註冊資訊」的勾選框。

API 改進#

用戶角色 API 現在會回傳結果

• POST /users/:userId/roles 會回傳 { roleIds, addedRoleIds }，顯示新指派的角色
• PUT /users/:userId/roles 會回傳 { roleIds }，確認最終狀態

@logto/api 新增 createApiClient 方法

用你自己的 Token 讀取邏輯建立型別安全的 API Client，支援自訂認證流程。

錯誤修正#

• Postgres 逾時：對 PgBouncer/RDS Proxy 相容設定 DATABASE_STATEMENT_TIMEOUT=DISABLE_TIMEOUT
• 企業 SSO 錯誤：修正 SSO 帳號不存在時的錯誤代碼
• JIT Email 網域：移除分頁上限，主控台會顯示所有網域
• 直接登入：修正重複自動登入請求
• 稽核日誌篩選：修正錯誤拼字導致篩選結果為空