Logto项目首次注册失败问题分析与解决方案

Logto作为一个开源的用户身份认证系统，在最新版本中出现了首次注册失败的问题。本文将深入分析该问题的技术原因，并提供有效的解决方案。

问题现象

当用户通过Docker Compose方式部署最新版Logto后，在首次注册管理员账户时，系统会返回"Internal Server Error"错误。从服务器日志可以看到关键错误信息：

PasswordPolicyChecker.hasBeenPwned error
fetch failed
ETIMEDOUT

技术分析

该问题的核心在于Logto的密码策略检查机制。最新版本中默认启用了"pwned密码检查"功能，该功能会通过API查询用户设置的密码是否存在于已知的泄露密码库中。

系统实现原理：

1. 用户提交注册信息时，服务端会调用外部API进行密码安全性验证
2. 该验证需要访问haveibeenpwned.com的API服务
3. 由于网络连接问题或API服务不可达，导致请求超时(ETIMEDOUT)
4. 最终引发服务器500错误

解决方案

目前有两种可行的解决方法：

方法一：临时禁用pwned密码检查

通过直接修改数据库配置，临时关闭该检查功能：

UPDATE sign_in_experiences 
SET password_policy='{"rejects": {"pwned": false}}' 
WHERE tenant_id='admin';

方法二：使用稳定版本

经测试，Logto 1.12及以下版本不存在此问题。用户可以选择暂时使用1.12版本，等待后续版本修复此问题。

最佳实践建议

对于生产环境部署，建议：

1. 评估是否需要严格的密码泄露检查
2. 确保服务器能够稳定访问外部API服务
3. 考虑使用企业版或定制版获得更稳定的服务支持

总结

Logto的密码安全策略在增强安全性的同时，也引入了外部依赖。开发团队正在优化这一机制，未来版本可能会提供更稳定的实现或本地化的密码检查方案。对于急需使用的用户，上述解决方案可以有效绕过当前问题。