BetterAuth v1.2.4-beta.10 版本发布：增强安全性与功能优化

BetterAuth 是一个现代化的身份验证解决方案，专注于为开发者提供安全、灵活且易于集成的认证服务。该项目通过模块化设计支持多种认证方式，包括传统的用户名密码、社交账号登录、OTP验证等，同时提供了组织权限管理、支付集成等企业级功能。

核心功能增强

可信来源动态验证支持

新版本引入了对Promise返回值的支持，使得可信来源(trusted origins)的验证可以动态进行。这意味着开发者现在可以通过异步操作（如数据库查询或API调用）来确定请求是否来自可信来源，大大提升了安全策略的灵活性。

网络转发基础URL支持

针对企业级部署场景，v1.2.4-beta.10版本新增了对网络转发基础URL的完整支持。这一改进使得BetterAuth能够正确处理经过网络转发后的请求路径，解决了在复杂部署环境下可能出现的路由问题，特别是在使用Nginx、Apache等网络转发服务器时。

安全优化

会话Cookie安全标志处理

修复了getSessionCookie辅助函数中安全标志(secure flag)的处理问题。现在该函数能够正确识别和接受安全标志，确保在HTTPS环境下会话cookie自动启用安全传输，防止中间人攻击。

OTP响应净化

出于安全考虑，新版本移除了发送手机号码OTP时的响应中包含的OTP代码。这一变更遵循了安全最佳实践，防止潜在的信息泄露风险，同时仍然保持了完整的OTP验证流程。

组织权限系统改进

权限检查机制得到了显著增强：

1. 增加了权限类型验证，确保在执行hasPermissions检查时传入的权限类型有效
2. 支持同时对多个权限进行检查，提高了批量权限验证的效率
3. 优化了权限检查的性能，减少了不必要的数据库查询

这些改进使得组织级别的权限管理系统更加健壮和高效，特别适合需要细粒度访问控制的企业应用场景。

Stripe支付集成优化

针对订阅服务场景，支付模块进行了重要调整：

1. 不再依赖reference ID作为订阅标识
2. 全面转向使用Stripe原生的subscription ID
3. 优化了订阅状态同步机制

这一变更解决了订阅管理中的一致性问题，特别是在处理支付失败、续订等边缘情况时更加可靠。同时，与Stripe API的集成也更加符合其设计规范，减少了潜在的兼容性问题。

技术实现亮点

本次更新体现了BetterAuth团队对安全性和可靠性的持续关注：

1. 异步验证机制的引入展示了系统的可扩展性
2. 安全标志的严格处理反映了对Web安全标准的严格遵守
3. 权限系统的优化体现了对复杂业务场景的深入理解
4. 支付集成的改进展示了与第三方服务集成的成熟方案

这些改进不仅提升了系统的功能性，也增强了在严苛生产环境下的稳定性表现。对于正在评估或已经使用BetterAuth的团队来说，这个版本值得特别关注。