Sessioner, cookies og tokens · Intastellar Help

Tænk i tre lag: Intastellar-hosted (login-UI), dit sites origin (SDK eller din session) og din backend (uigennemsigtige sessioner, verifikation).

På dit sites origin

Når du bruger @intastellar/signin-sdk-react eller et vanilla-flow der spejler det, kan logind sætte first-party-cookies så browseren husker brugeren. Præcise navne og regler er defineret af SDK’en og Intastellars tekniske reference (npm readme, Ren HTML, CSS og JavaScript) — antag ikke at de matcher et andet projekt.

Betragt disse cookies som SDK-styrede medmindre Intastellar dokumenterer andet.

Uigennemsigtigt session-id i en HttpOnly, Secure cookie med SameSite der passer til din topologi.
Server-side lager der mapper det id til bruger-id, udløb og refresh-håndtering.
Opret eller forny den session kun efter din server stoler på logind-resultatet (token-validering efter jeres tekniske reference eller runbook).

Se Intastellar Sign-In — React og JavaScript for et overordnet «valgfri serversession»-mønster med kun eksempel-URL’er.

På Intastellar-kontrollerede værter

Mens brugeren logger ind hos Intastellar, kan identitetsværten sætte egne cookies (SSO, session). De er ikke læsbare fra dit origins JavaScript. Stol på tokens, din session eller SDK’en, ikke på at læse IdP-cookies på tværs af sites.

ID-token vs access-token

Når du bruger OAuth-lignende token-svar (manuel kodeflow):

ID-token — JWT om autentificeringshændelsen; valider iss, aud, exp, signatur (og nonce hvis brugt).
Access-token — kald API’er; behandl som uigennemsigtig medmindre du skal parse den.

SPA’er og JavaScript-klienter — PKCE og hvornår du ikke skal bruge en secret i browseren.
Server-side (fortrolige) klienter — kodeudveksling uden at eksponere hemmeligheder.

Last updated Apr 7, 2026

På dit sites origin

På Intastellar-kontrollerede værter

ID-token vs access-token

Log ud

Ofte stillede spørgsmål

Kan vi læse Intastellars cookies fra JavaScript?

Næste