Abmelden (was geleert werden soll)
- Eigene Session — Anwendungs-Session-Cookie und serverseitigen Datensatz ungültig machen.
- IdP-Abmeldung (empfohlen, wenn verfügbar) — End-Session-/Logout-URL mit Parametern aus Ihrer Referenz (
id_token_hint,post_logout_redirect_uri,client_idusw.), damit SSO-Cookies auf der Identity-Domain weg sind. - Rückleitung — danach öffentliche Seite auf Ihrer Site.
Ohne Schritt 2 kann der Nutzer bei Intastellar noch angemeldet sein und beim nächsten authorize-Redirect still wieder reinkommen.
Häufige Authorize-Fehler
error (typisch) | Bedeutung |
|---|---|
invalid_request | Fehlender/ungültiger Parameter (z. B. redirect_uri). |
unauthorized_client | Client/Flow/Scope nicht erlaubt. |
access_denied | Nutzer abgebrochen oder Zustimmung verweigert. |
invalid_scope | Scope für Client nicht erlaubt. |
Dem Nutzer eine sichere Meldung zeigen, error_description serverseitig loggen.
Häufige Token-Fehler
error | Bedeutung |
|---|---|
invalid_grant | Code abgelaufen, schon verwendet oder redirect_uri/PKCE-Mismatch. |
invalid_client | Falsche client_id / client_secret. |
invalid_request | Fehlerhafter Body oder fehlendes Feld. |
Authorization-Codes sind meist einmalig und kurzlebig. Doppelter Callback oder Retry mit demselben Code → invalid_grant.
React-SDK und Plain JS (Popup)
- Popup blockiert — neues Fenster; Browser blockieren ggf. Popups für Ihre Origin erlauben oder anderen Flow nutzen.
- Noch „angemeldet“ nach Portal-Logout — Drittanbieter-Cookies oder IdP-Session;
getUsers()kann noch einen Nutzer liefern bis IdP-Logout oder Cookie-Bereinigung — Sitzungen, Cookies und Tokens.
Fehlersuche — Checkliste
- Redirect-URI exakt wie registriert (Schema, Host, Pfad, keine Extra-Query).
statepasst zum gespeicherten Wert dieses Versuchs.- PKCE: derselbe
code_verifierwie zurcode_challenge. - Uhrzeit-Skew: Serverzeit für JWT-
exp. - CORS: Token-Endpunkt aus dem Browser schlägt oft fehl — Backend nutzen.
Happy Path: Authorization-Code-Flow.
Häufige Fragen
Nutzer sagt, das Popup ist leer
Popup-Blocker, Mixed Content, Konsolenfehler prüfen. Nach Token unbedingt iframe-token-received ans Popup senden, wenn nötig — Plain HTML, CSS und JavaScript.
Immer invalid_grant
Siehe Token-Fehler — oft doppelte Code-Nutzung oder redirect_uri-Mismatch beim Austausch.
Nur aus unserer App abmelden, nicht bei Intastellar
Nur eigene Session leeren (Schritt 1). Der Nutzer kann beim nächsten Intastellar-Redirect schnell wieder drin sein — je nach Wunsch gewollt oder nicht.
Last updated