Abmeldung

1. Intastellar-Client-Cookie auf Ihrer Origin löschen — Intastellar.accounts.signout() aufrufen. Der Browser-Client von Intastellar entfernt damit derzeit das inta_account-Cookie (First-Party auf der Origin Ihrer Site). Laden Sie zuvor das Intastellar-Accounts-Skript / den globalen Namespace; rufen Sie die API nur abgesichert auf (z. B. Intastellar?.accounts?.signout?.()).
2. Eigene Anwendungssitzung löschen — Ihr App-Sitzungs-Cookie (z. B. HttpOnly) und serverseitige Sitzung entfernen oder invalidieren. Der SDK-Schritt ersetzt keine eigene Backend- oder BFF-Sitzung.
3. IdP- / SSO-Abmeldung (optional, für vollständiges SSO-Teardown empfohlen) — nutzt Ihre Integration eine End-Session- oder Logout-URL auf dem Identity-Host, leiten Sie den Nutzer mit den Parametern aus Ihrem Integrationsleitfaden dorthin (id_token_hint, post_logout_redirect_uri, client_id usw.), damit SSO-Cookies auf Intastellars Identity-Domain gelöscht werden.
4. Return-URL — nach abgeschlossener Abmeldung auf eine öffentliche Seite Ihrer Site schicken.

Ohne Schritt 3 (wenn Sie SSO auf der Identity-Domain nutzen) kann der Nutzer noch eine IdP-Sitzung haben und beim nächsten authorize-Redirect stilles SSO erhalten, auch wenn inta_account bereits fehlt.

Typische Authorize-Fehler

error (typisch)	Bedeutung
invalid_request	Fehlender oder ungültiger Parameter (z. B. schlechte redirect_uri).
unauthorized_client	Client nicht für diesen Flow oder Scope erlaubt.
access_denied	Nutzer hat abgebrochen oder Zustimmung verweigert.
invalid_scope	Angeforderter Scope für den Client nicht erlaubt.

Dem Nutzer immer eine sichere Meldung zeigen und error_description serverseitig für den Support loggen.

Typische Token-Fehler

error	Bedeutung
invalid_grant	Code abgelaufen, bereits verwendet oder redirect_uri / PKCE-Mismatch.
invalid_client	Falsche client_id / client_secret.
invalid_request	Fehlerhafter Body oder fehlendes Feld.

Authorization Codes sind meist einmal nutzbar und kurzlebig. Doppeltes Absenden des Callbacks oder Wiederholung mit demselben Code führt zu invalid_grant.

React-SDK (Popup)

• Popup blockiert — das SDK öffnet ein neues Fenster; Browser können es blockieren. Popups für Ihr Origin erlauben oder einen Flow ohne window.open nutzen, falls Ihr Produkt das unterstützt.
• logout vs. globales signout — der Hook-logout beendet die Client-Sitzung in Ihrer App; die zugrunde liegende Client-API ist Intastellar.accounts.signout(), die das inta_account-Cookie auf Ihrer Origin löscht.
• Noch „angemeldet“ nach Portal oder Cookie-Bereinigung — Drittanbieter-Cookies oder eine IdP-Sitzung können getUsers() noch einen Nutzer liefern, bis End-Session / IdP-Abmeldung oder weitere Bereinigung; allein das Entfernen von inta_account löscht nicht immer den Identity-Host. Siehe Sitzungen, Cookies und Tokens.

Fehlersuche-Checkliste

• Redirect-URI stimmt exakt mit dem registrierten Wert überein (Schema, Host, Pfad, keine Extra-Query).
• state entspricht dem für diesen Versuch gespeicherten Wert.
• PKCE: derselbe code_verifier, aus dem der gesendete code_challenge entstand.
• Zeitsynchronisation: Serverzeit korrekt für JWT-exp-Validierung.
• CORS: Token-Endpunkt-Aufrufe aus dem Browser scheitern oft by design — Backend nutzen.

Für den Happy Path siehe Authorization-Code-Flow.