Intastellar Developers
Versionv1

Afmelden

  1. Intastellar-clientcookie op uw origin wissen — roep Intastellar.accounts.signout() aan. De Intastellar-browserclient verwijdert daarmee momenteel de cookie inta_account (first-party op de origin van uw site). Laad eerst het Intastellar-accounts-script / de globale namespace en roep de API defensief aan (bijv. Intastellar?.accounts?.signout?.()).
  2. Uw applicatiesessie wissen — verwijder of invalideer uw eigen appsessiecookie (bijv. HttpOnly) en serverside sessierecord. De SDK-stap vervangt geen eigen backend- of BFF-sessie.
  3. IdP- / SSO-afmelden (optioneel, aanbevolen voor volledige SSO-afbouw) — als uw integratie een end-session- of logout-URL op de identity-host gebruikt, stuur de gebruiker daarheen met parameters uit uw integratiegids (id_token_hint, post_logout_redirect_uri, client_id, enz.) zodat SSO-cookies op Intastellars identity-domein worden gewist.
  4. Return-URL — stuur de gebruiker na afmelden naar een publieke pagina op uw site.

Zonder stap 3 (als u afhankelijk bent van SSO op het identity-domein) kan de gebruiker nog een IdP-sessie hebben en stille SSO krijgen bij de volgende authorize-redirect, ook als inta_account al weg is.

Veelvoorkomende authorize-fouten

error (typisch)Betekenis
invalid_requestOntbrekende of ongeldige parameter (bijv. verkeerde redirect_uri).
unauthorized_clientClient niet toegestaan voor deze flow of scope.
access_deniedGebruiker heeft geannuleerd of toestemming geblokkeerd.
invalid_scopeGevraagde scope niet toegestaan voor de client.

Toon altijd een veilige boodschap aan de gebruiker en log error_description server-side voor support.

Veelvoorkomende token-fouten

errorBetekenis
invalid_grantCode verlopen, al gebruikt, of redirect_uri / PKCE-mismatch.
invalid_clientVerkeerde client_id / client_secret.
invalid_requestMalformed body of ontbrekend veld.

Authorization codes zijn meestal eenmalig en kortlevend. Bij dubbele submit van de callback of retry met dezelfde code: verwacht invalid_grant.

React-SDK (popup)

  • Popup geblokkeerd — de SDK opent een nieuw venster; browsers kunnen het blokkeren. Sta popups toe voor uw origin of gebruik een flow zonder window.open als uw product dat ondersteunt.
  • logout vs globaal signout — de hook-logout beëindigt de clientsessie in uw app; de onderliggende API is Intastellar.accounts.signout(), die het inta_account-cookie op uw origin verwijdert.
  • Nog « ingelogd » na portal of cookie-opruiming — third-party cookies of IdP-sessie kunnen ervoor zorgen dat getUsers() nog een gebruiker teruggeeft tot end-session / IdP-afmelden of verdere opruiming; alleen inta_account wissen leegt niet altijd de identity-host. Zie Sessies, cookies en tokens.

Troubleshooting-checklist

  • Redirect-URI komt exact overeen met de geregistreerde waarde (schema, host, pad, geen extra query).
  • state komt overeen met wat u voor deze poging opsloeg.
  • PKCE: dezelfde code_verifier die de verzonden code_challenge opleverde.
  • Klokskew: zorg dat servertijd klopt voor JWT exp-validatie.
  • CORS: token-endpoint-calls vanuit de browser falen vaak by design — gebruik uw backend.

Voor een volledige walkthrough van het happy path, zie Authorization code flow.

Last updated