Déconnexion

1. Supprimer le cookie client Intastellar sur votre origine — appelez Intastellar.accounts.signout(). Le client navigateur Intastellar supprime actuellement le cookie inta_account (first-party sur l’origine de votre site). Chargez d’abord le script / l’espace de noms global des comptes Intastellar, et appelez l’API de façon défensive (par ex. Intastellar?.accounts?.signout?.()).
2. Terminer la session applicative — supprimez ou invalidez votre cookie de session d’application (par ex. HttpOnly) et l’enregistrement côté serveur. L’étape SDK ne remplace pas votre propre session backend ou BFF.
3. Déconnexion IdP / SSO (optionnelle, recommandée pour un démontage SSO complet) — si votre intégration utilise une URL end-session ou de déconnexion sur l’hôte d’identité, redirigez-y l’utilisateur avec les paramètres de votre guide (id_token_hint, post_logout_redirect_uri, client_id, etc.) pour effacer les cookies SSO sur le domaine d’identité Intastellar.
4. URL de retour — renvoyez l’utilisateur vers une page publique après la déconnexion.

Sans l’étape 3 (lorsque vous dépendez du SSO sur le domaine d’identité), l’utilisateur peut conserver une session IdP et obtenir un SSO silencieux au prochain redirect authorize, même après suppression de inta_account.

Erreurs authorize courantes

error (typique)	Signification
invalid_request	Paramètre manquant ou invalide (ex. mauvais redirect_uri).
unauthorized_client	Client non autorisé pour ce flux ou ce scope.
access_denied	Utilisateur a annulé ou bloqué le consentement.
invalid_scope	Scope demandé non autorisé pour le client.

Affichez toujours un message sûr à l’utilisateur et journalisez error_description côté serveur pour le support.

Erreurs token courantes

error	Signification
invalid_grant	Code expiré, déjà utilisé, ou mismatch redirect_uri / PKCE.
invalid_client	Mauvais client_id / client_secret.
invalid_request	Corps mal formé ou champ manquant.

Les codes d’autorisation sont en général à usage unique et à courte durée de vie. En cas de double soumission du callback ou de nouvelle tentative avec le même code, attendez-vous à invalid_grant.

SDK React (popup)

• Popup bloquée — le SDK ouvre une nouvelle fenêtre ; les navigateurs peuvent la bloquer. Autorisez les popups pour votre origine ou utilisez un flux sans window.open si votre produit le permet.
• logout vs signout global — le logout du hook termine la session client dans votre app ; l’API sous-jacente est Intastellar.accounts.signout(), qui supprime le cookie inta_account sur votre origine.
• Toujours « connecté » après le portail ou un nettoyage de cookies — cookies tiers ou session IdP peuvent faire que getUsers() renvoie un utilisateur jusqu’à end-session / déconnexion IdP ou nettoyage supplémentaire ; supprimer seulement inta_account ne vide pas toujours l’hôte d’identité. Voir Sessions, cookies et jetons.

Liste de dépannage

• L’URI de redirection correspond exactement à la valeur enregistrée (schéma, hôte, chemin, pas de query en trop).
• state correspond à la valeur stockée pour cette tentative.
• PKCE : même code_verifier que celui qui a produit le code_challenge envoyé.
• Décalage d’horloge : assurez-vous que l’heure serveur est correcte pour la validation JWT exp.
• CORS : les appels token endpoint depuis le navigateur échouent souvent par conception — utilisez votre backend.

Pour un parcours complet du cas nominal, voir Flux code d’autorisation.