Logto 產品更新
Logto v1.38.0 正式推出。本次版本新增對 OAuth 2.0 裝置授權授權(Device Authorization Grant)的支援、通行密鑰登入、自適應 MFA、工作階段與授權管理,以及 OSS 部署更靈活的 OIDC 配置。
Developer
我們很高興宣布 Logto v1.38.0,上線於 2026 年 3 月!這次更新為受限輸入裝置新增裝置流程、引入通行密鑰登入與自適應 MFA 強化,並拓展 Logto 對工作階段、授權以及租戶層級設定的控管。
受限輸入裝置的裝置流程
本次版本其中一項重大功能是支援 OAuth 2.0 裝置授權授權(Device Authorization Grant)。這大幅簡化了建構無鍵盤或瀏覽器體驗裝置(如智慧電視、CLI 工具、遊戲主機及物聯網裝置)的驗證流程。
透過裝置流程,用戶可以:
- 在裝置上啟動登入流程
- 於另一裝置開啟驗證網址
- 輸入簡短的用戶代碼
- 在該處完成驗證
- 回到原始裝置並獲取發行的存取權杖
此外我們也為裝置流程應用新增完整 Console 支援。你現在可以在建立原生應用時,選擇 受限輸入裝置 / CLI,或在手動建立 App 時選擇 裝置流程 作為授權流程。應用��設定頁面內建教學與示範,幫助你快速上手。
通行密鑰登入升級至正式流程
本次版本讓通行密鑰登入成為 Logto 完整的驗證方式。
通行密鑰登入為回訪用戶提供更快速的免密碼體驗,同時提升帳戶安全性。它可和常見的平台驗證器配合,例如 Face ID、Touch ID 與 Windows Hello。
我們增強了多種通行密鑰登入體驗:
- 專屬的 使用通行密鑰繼續 按鈕,即時登入
- 先輸入帳號再優先驗證通行密鑰,無法使用時才退回密碼/驗證碼的識別優先流程
- 瀏覽器自動填寫支援,讓用戶可直接在帳號欄選擇已保存的通行密鑰
- 新用戶註冊時可同時綁定通行密鑰
- 將現有 WebAuthn MFA 憑證直接做為通行密鑰登入,免除再次註冊步驟
查看我們的通行密鑰登入說明文件了解更多資訊。
自適應 MFA 與更完善的 MFA 指引
本次版本在現代化 MFA 方面有兩項重要提升。
自適應 MFA
Logto 現已支援自適應 MFA。啟用後,登入流程會根據目前情境評估自適應 MFA 規則,若規則觸發則強制要求 MFA。
這同時包括:
- Console 內可直接配置自適應 MFA
- 托管互動資料中持久化登入情境
- 在自訂 Claims 腳本中可取用
context.interaction.signInContext - 新增
PostSignInAdaptiveMfaTriggeredWebhook 事件
選擇性 MFA 迎新頁面
對於不需強制啟用 MFA 的用戶,Logto 現可於驗證後顯示專屬迎新頁面,詢問是否開啟 MFA 以提升保障。
這對於通行密鑰登入特別實用,讓用戶能只用通行密鑰登入,不用立即設成 MFA 因子。
API 與 Console 工作階段、授權管理
這次針對用戶工作階段及授權應用新增一系�列帳號及管理控管功能。
用戶工作階段管理
Logto 現在同時支援帳號 API 及管理 API 工作階段管理。你可以列出啟用中的工作階段、查閱詳情並選擇性撤銷(可附帶授權撤銷行為)。
還新增加:
- 帳號中心設定新增
session權限,支援off、readOnly、edit三種權限 - 新增
urn:logto:scope:sessions使用者範圍,用於 session 相關帳號 API 存取 - 更完整的工作階段上下文,包含 IP、用戶端資訊與可取得的地理位置
Console 方面,使用者詳情頁多了 活躍工作階段 區塊及專屬工作階段詳情頁(含撤銷功能)。
授權應用管理
Logto 現可於帳號及管理 API 查閱、撤銷用戶授予的應用授權。
本次也於 Console 使用者詳細頁新增 授權第三方應用 區塊。管理者能查看啟用授權情形、審閱 App 名稱及建立時間等資料,並於 UI 中直接撤銷授權。
App 層級併發裝置限制
應用程式現在可於 customClientMetadata 定義 maxAllowedGrants,限制使用者在特定 App 可保有的有效授權數量。超過數量時,Logto 會自��動撤銷最舊的授權。
Console 的應用詳情頁也新增 併發裝置上限 區塊,讓你直覺化調整。
OSS OIDC 設定更多控制權
OSS 用戶現在可以更靈活地管理 OIDC 設定。
你可於 logto-config 設定 oidc.session.ttl,自訂 OIDC 提供者工作階段 TTL(秒)。若未設,預設仍為 14 天。
另外還新增:
GET /api/configs/oidc/sessionPATCH /api/configs/oidc/session
於 Console,OSS 使用者多了全新 Tenant → 設定 頁面,與取代舊有憑證頁籤的 OIDC 設定 分頁。新頁面亦包含 Session 存活最長時間 欄位,可直接調整 TTL(天)。
若你採 OSS 部署,設定變更後請記得重啟服務,使新 OIDC 設定生效。若想設定變更自動套用,建議啟用中央 Redis 快取。
帳號中心改進
內建帳號中心本次同樣獲得多項升級。
用戶現在可以:
- 透過
/authenticator-app/replace路徑更換驗證器 App - 利用
identifierURL 參數預先填入帳號欄位 - 用
ui_locales參數覆蓋帳號中心語言
我們也調整密碼表單,提升瀏覽器自動填寫及密碼管理員相容性。
開發者導向 API 強化
對於計劃將用戶移轉進 Logto 團隊,GET /users 及 GET /users/:userId 現支援 includePasswordHash 查詢參數。啟用後,回應將包含 passwordDigest 與 passwordAlgorithm,協助需取得原始密碼雜湊資料的移轉流程。
同時也加入服務間委任存取權杖交換支援。Logto 現可用標準 urn:ietf:params:oauth:token-type:access_token 權杖型別,交換不透明或 JWT 存取權杖給不同受眾的新權杖。
問題修正
本次另包含多項穩定性與相容性強化:
- TOTP、WebAuthn、備用代碼等 MFA 驗證路徑現會通報至 Sentinel,方便檢測及隔離重複失敗。
- OIDC adapter 的
findByUid與findByUserCode查詢現採用字��面 JSONB keys,提升預備泛用執行計畫下的表達式索引配合度。 - Postgres pool 初始化於啟動連線錯誤時,現會重試。
- 舊版密碼驗證現支援用戶匯入時 PBKDF2 salt 帶有
hex:前綴。 - 權杖交換速度提升,因最小化 OIDC resource 查詢快取、發行時預產生 grant ID。
- Twilio SMS
To格式化現對非 E.164 號碼標準化為自動補齊開頭+。
不相容變更 (Breaking changes)
本次版本有 Connector 工具組的不相容更新。
長期棄用的 mockSmsVerificationCodeFileName 輸出(export)已從 @logto/connector-kit 移除。
另外我們也調整 mock connector 訊息記錄存放路徑:
/tmp/logto_mock_email_record.txt->/tmp/logto/mock_email_record.txt/tmp/logto_mock_sms_record.txt->/tmp/logto/mock_sms_record.txt
若你的本地/ Docker 工作流依賴舊路徑,請記得同步調整。
新貢獻者
感謝新貢獻者協助我們優化 Logto :
- @taka-guevara 首次貢獻(#8555)
- @synchrone 首次貢獻(#8504)
- @ppotaczek 及 @leoshusar 首次貢獻(#8526)
開始體驗
準備升級了嗎?歡迎參考我們的升級指南分步操作說明。
完整更新內容請見 GitHub 發行頁。