Logto v1.16.0 - 自定义 JWT，组织角色的 API 权限，还有很多改进

大家好！我们刚刚发布了 Logto v1.16.0，带来了很多新功能和改进，欢迎试用提出建议。

Logto 网站 🫱 https://logto.io/ 「一个更好的身份基础设施」

以下是本次更新的高亮节选：

自定义 JWT

JWT 访问令牌现在可以通过使用自定义 JavaScript 代码片段添加额外的声明。当需要在令牌中包含自定义数据以与其他系统兼容时，此功能非常有用。

我们在 Console 中新增了「自定义 JWT 」标签页。用户和机器对机器（ M2M ）令牌都可以自定义。

在部署更改之前，可以使用「运行测试」按钮来查看带有自定义声明的令牌将会是什么样子。

有关更多信息，请参见 🎫 自定义 JWT 声明。

注意 在开源版本中，自定义 JWT 的代码将与 Logto 的其他代码一起在同一环境中运行。添加自定义代码到 JWT 时要小心，因为它可能引入安全漏洞。

针对组织角色的 API 资源

您现在可以将 API 资源的权限（ scope ）分配给组织角色。与「组织模板」中的其他权限一样，这些权限是组织级别的，意味着它们仅适用于特定组织。

让我们看一个例子：

• 有一个名为 https://shopping.api/ 的 API 资源。
• 该 API 资源有两个范围：read 和 write。
• 有两个组织角色：admin 和 user。
• admin 角色拥有 read 和 write 范围；user 角色仅拥有 read 范围。
• 用户 Alice 在 foo 组织中被分配了 admin 角色，在 bar 组织中被分配了 user 角色。

当 Alice 尝试为 https://shopping.api/ 资源交换组织令牌时，她将根据她请求令牌的组织接收一个带有基于该组织的范围的令牌。

对于 foo 组织，Alice 将接收到一个带有 read 和 write 范围的令牌。对于 bar 组织，她将接收到一个仅带有 read 范围的令牌。

有关组织的全面介绍，请参见 🏢 组织（多租户）。

除了上面提到的内容，我们还加入了大量改进与修复。完整内容请见 https://blog.logto.io/releases/2024-may/