Logto 產品更新
Logto v1.41.0 帶來應用層級的存取控管、密碼過期政策、重大的帳戶中心升級、可自訂的用戶名稱與驗證碼規則、更安全的訊息傳遞,以及一輪協議/安全性強化。
Developer
Logto v1.41.0 是一個針對控管與安全性的版本。這次更新讓團隊能更細緻地決定誰可以存取每個應用,擁有更完整的密碼生命週期控管,以及更強大的帳戶中心給終端用戶使用。驗證碼傳遞、使用者名稱規則、SAML/OIDC 處理、多重驗證碼重播防護,以及自託管升級路徑也更嚴格了。以下是本次更新內容。
應用層級的存取控管
你現在可以直接從 Logto 限制應用的存取權。存取規則可以鎖定特定用戶、用戶角色、組織,或者組織角色。
當用戶不符設定的規則時,Logto 會以存取拒絕頁阻擋登入或存取應用的流程,而不是讓請求繼續進行。這讓應用佈署、客戶專屬存取、內部工具保護,以及以組織為範圍的存取管理變得更簡單,無需將所有判斷都推進你的應用程式碼。
查看應用層級存取控管文件獲得完整設定流程。
密碼過期政策
後台管理台現在支援在 安全性 > 密碼政策 下設定租戶層級的密碼過期。
管理員可以啟用密碼過期,設定密碼可用天數,並可從用戶詳情頁手動讓特定用戶的密碼過期。當密碼過期時,用戶必須透過預先設好的恢復方法重設密碼,才能繼續密碼登入。
單一登入(SSO)與 Passkey 登入不受影響。對於過去沒有記錄密碼更改時間的現有用戶,Logto 會溫和處理:啟用政策後,以該時點為基準,讓他們擁有完整有效期限,而不會立刻過期。
帳戶中心獲得更多自助控管
帳戶中心正逐步發展成終端用戶完整自助身份服務平臺。
本次釋出增添了會話管理、連結第三方應用審查、個人檔案管理、大頭貼上傳、註冊收集個人資料時也能上傳大頭貼、獨立管理 Passkey、以及用戶自訂 Passkey 登入提示偏好。
帳戶中心的個人檔案頁、註冊時的自訂資料欄位、大頭貼上傳端點也從開發功能限制釋放。
同時也修正了幾個重要問題:
- 主題、平台與品牌色會在界面水合前就套用,減少畫面閃爍。
- Step-up 驗證只限於用戶權限驗證紀錄。
- 若用戶沒有舊式安全驗證方式,社交身份可在不用密碼、電子郵件或手機驗證的情況下綁定。
- 後台管理台編輯用戶名稱的動作現在會重新導向到帳戶中心,以便完成必要的驗證。
用戶名稱與驗證碼政策
租戶層級的用戶名稱規則現在可從 管理台 > 登入體驗 > 註冊與登入 > 進階選項 進行配置。
政策涵蓋大小寫敏感、長度限制、允許的字元類型。這些規則會限制所有終端用戶與帳戶 API 的用戶名稱操作,包含註冊、個人檔案填寫、帳戶中心、Account API,以及 /me 端點。
切換為不區分大小寫的用戶名稱時有把關:Logto 會檢查現有名稱存在僅有大小寫差異者,若發現衝突則阻止該政策變更。OIDC 的 preferred_username 聲明現在也在 profile.preferredUsername 未設定時回退至用戶的 username。
驗證碼控制也搬到後台安全性設定。管理員可設定驗證碼過期時效與最大重試次數。
更安全的訊息傳遞
Logto 現在對郵件/簡訊驗證與邀請傳送路徑,包含體驗頁、多因素驗證、Account API、Management API、/me、組織邀請以及舊版互動 API,施加系統層級的每用戶傳送速率限制。
若超過限制,Logto 會發出 Message.RateLimited webhook 事件,這個事件現可於管理台 webhook 設定中選取。
當關閉註冊時,對未知收件人的驗證碼傳送會被抑制,降低帳戶列舉風險。
JWT 客製元件及 API �提升
針對組織 API 資源權杖,Access token JWT 客製元件現在可以獲取 context.organization,內含目標組織的 id、name、description 及 customData。
這樣更容易客製每個組織的聲明,而不必在每份權杖都嵌入所有組織對應資訊。
還有幾項 API 改進:
POST /api/applications/:applicationId/roles現在具備冪等性。已有角色 ID 會被忽略,不再返回422 application.role_exists。- 該端點現在會回傳
201及{ roleIds, addedRoleIds },格式對齊用戶角色賦予 API。 - 組織角色建立初始 scope 時變更為交易型,不正確的 scope ID 不會造成僅部分角色被創建的情形。
協議與安全強化
本次更新納入一組針對協議與安全的修正:
- SAML IdP 自動提交表單現在會跳脫 HTML 屬性值,並拒絕非 HTTP(S) 的 action URL。
samlify升級至^2.13.0,加強產生 SAML Assertion 時的 XML 跳脫處理。- TOTP 多重驗證核驗會拒收同一時間或更舊步數計數的重播驗證碼。
- OIDC 請求體若含空字元則回傳
400 invalid_request。 - 稽核日誌內容在插入前會過濾空字元。
- 電郵副位址封鎖名單檢查不再用用戶可控內容組合正則。
- Logto Tunnel 防止靜態檔案請求讀取經驗路徑之外的資料。
同時還有相容�性與儲存修正:舊版 Safari 及 iOS 15 因為不支援 regex lookbehind 語法而啟動時不會再崩潰、OIDC 企業串接器可以與僅支援非 JSON negotiate 的供應商取得探索設定、自訂 UI 資產用 Azure Blob 傳輸失敗時現在會被視為可重試的儲存下載錯誤。
新增及優化的連接器
本版增添並強化多項連接器功能:
- 新增 SMTP2GO 郵件連接器,可透過 SMTP2GO 傳遞驗證郵件。
- QQ 連接器支援以儲存轉址網址進行社交身份驗證。
- SAML 連接器因
samlify及其更加嚴格的傳回型別升級。 - Connector Kit 現在輸出 SMTP 信箱解析與格式化共用工具,MailJunky 也一併使用。
適用自託管用戶
v1.41.0 需要資料庫遷移。本次更新帶來密碼過期、用戶名稱政策、驗證碼政策、訊息速率識別索引、帳戶中心預設與服務日誌索引的資料表 Schema 變更。
升級後,請在啟動新版前執行資料庫變更指令。詳細請參考升級指南。
CASE_SENSITIVE_USERNAME 環境變數現已棄用。它還能在執行時覆蓋行為,但建議透過新用戶名稱政策在每個租戶單獨設定大小寫敏感性。該變數預計下個大版本將移除。
開始使用
準備升級了嗎?請參考升級指南獲得逐步教學。
完整異動內容請見 GitHub 發布頁。