Intastellar Developers
Versionv1

Logout

  1. Limpe sua sessão — apague ou invalide o cookie de sessão do app e o registro no servidor.
  2. Logout no IdP (opcional, recomendado) — se a Intastellar fornecer URL de end-session ou logout, redirecione o usuário para lá com os parâmetros do guia de integração (id_token_hint, post_logout_redirect_uri, client_id, etc.) para limpar cookies SSO no domínio de identidade.
  3. URL de retorno — após o logout, leve o usuário a uma página pública do site.

Sem a etapa 2, o usuário pode continuar autenticado na Intastellar e receber SSO silencioso no próximo redirect authorize.

Erros comuns no authorize

error (típico)Significado
invalid_requestParâmetro ausente ou inválido (ex.: redirect_uri ruim).
unauthorized_clientCliente não permitido para este fluxo ou escopo.
access_deniedUsuário cancelou ou bloqueou o consentimento.
invalid_scopeEscopo solicitado não permitido para o cliente.

Sempre mostre uma mensagem segura ao usuário e registre error_description no servidor para suporte.

Erros comuns no token

errorSignificado
invalid_grantCódigo expirado, já usado ou incompatibilidade de redirect_uri / PKCE.
invalid_clientclient_id / client_secret incorretos.
invalid_requestCorpo malformado ou campo ausente.

Authorization codes costumam ser uso único e de curta duração. Se o usuário enviar o callback duas vezes ou você repetir com o mesmo código, espere invalid_grant.

SDK React (popup)

  • Popup bloqueado — o SDK abre nova janela; navegadores podem bloquear. Permita popups para sua origem ou use fluxo sem window.open se o produto suportar.
  • Ainda “logado” após logout no portal — cookies de terceiros ou sessão no IdP podem fazer getUsers() retornar usuário até logout no IdP ou limpeza de cookies; veja Sessões, cookies e tokens.

Checklist de solução de problemas

  • URI de redirecionamento coincide exatamente com o valor registrado (esquema, host, caminho, sem query extra).
  • state coincide com o valor guardado para esta tentativa.
  • PKCE: mesmo code_verifier que produziu o code_challenge enviado.
  • Diferença de relógio: horário do servidor correto para validação JWT exp.
  • CORS: chamadas ao endpoint de token a partir do navegador costumam falhar por desenho — use seu backend.

Para o caminho feliz completo, veja Fluxo authorization code.

Last updated