Intastellar Developers
Versionv1

Log ud

  1. Ryd Intastellars klient-cookie på din origin — kald Intastellar.accounts.signout(). Intastellars browser-klient sletter dermed i øjeblikket cookien inta_account (first-party på dit sites origin). Indlæs Intastellar accounts-scriptet / det globale namespace først, og kald API’et defensivt (fx Intastellar?.accounts?.signout?.()).
  2. Ryd din applikationssession — slet eller invalidér dit eget app-session-cookie (fx HttpOnly) og serverside session. SDK-trinnet erstatter ikke din egen backend- eller BFF-session.
  3. IdP- / SSO-log ud (valgfrit, anbefales for fuld SSO-nedlukning) — hvis din integration bruger en end-session- eller logout-URL på identity-værten, redirect brugeren dertil med parametre fra din guide (id_token_hint, post_logout_redirect_uri, client_id, osv.) så SSO-cookies på Intastellars identity-domæne ryddes.
  4. Retur-URL — send brugeren til en offentlig side på dit site, når logout er færdig.

Uden trin 3 (når I stoler på SSO på identity-domænet) kan brugeren stadig have en IdP-session og få stille SSO ved næste authorize-redirect, selv efter at inta_account er væk.

Almindelige authorize-fejl

error (typisk)Betydning
invalid_requestManglende eller ugyldig parameter (f.eks. dårlig redirect_uri).
unauthorized_clientKlient ikke tilladt til dette flow eller scope.
access_deniedBruger annullerede eller blokerede samtykke.
invalid_scopeAnmodet scope ikke tilladt for klienten.

Vis altid en sikker besked til brugeren og log error_description serverside til support.

Almindelige token-fejl

errorBetydning
invalid_grantCode udløbet, allerede brugt eller redirect_uri / PKCE mismatch.
invalid_clientForkert client_id / client_secret.
invalid_requestMalformet body eller manglende felt.

Authorization codes er som regel engangs og kortlivede. Dobbel indsendelse af callback eller retry med samme code giver invalid_grant.

React SDK (popup)

  • Popup blokeret — SDK åbner nyt vindue; browsere kan blokere det. Tillad popups for dit origin eller brug et flow uden window.open hvis dit produkt understøtter det.
  • logout vs. globalt signout — hook’ens logout afslutter klient-sessionen i din app; den underliggende API er Intastellar.accounts.signout(), som sletter cookien inta_account på din origin.
  • Stadig „logget ind“ efter portal eller cookie-oprydning — tredjeparts-cookies eller IdP-session kan få getUsers() til stadig at returnere en bruger indtil end-session / IdP-log ud eller yderligere oprydning; kun at fjerne inta_account rydder ikke altid identity-værten. Se Sessioner, cookies og tokens.

Fejlfindingstjekliste

  • Redirect-URI matcher den registrerede værdi præcis (scheme, host, sti, ingen ekstra query).
  • state matcher den værdi du gemte for dette forsøg.
  • PKCE: samme code_verifier som producerede den sendte code_challenge.
  • Ur-skævhed: servers tid korrekt til JWT exp-validering.
  • CORS: token-endpoint-kald fra browser fejler ofte med vilje — brug dit backend.

For fuld gennemgang af happy path, se Authorization code-flow.

Last updated