Dieser Artikel ist die Checkliste vor Buttons, Popups und Callbacks. Wenn Sie React oder reines HTML/JS nutzen, können Sie zuerst diese Artikel öffnen und hierher zurückkommen für Registrierung und Absprachen im Team.
Ihren Weg wählen
| Sie bauen… | Einstieg |
|---|---|
| React | Intastellar Sign-In — React und JavaScript — passt zum npm-Paket. |
| Nur HTML / CSS / JS | Plain HTML, CSS und JavaScript. |
| Eigenen OAuth-ähnlichen Flow (eigene Redirect- und Token-Schritte) | Diese Seite, dann Authorization-Code-Flow. |
Vorbereitung (Checkliste)
- Jemand kann Ihre App im Intastellar-Registrierungsflow registrieren oder aktualisieren.
- Sie kennen Produktions- vs. Staging-URLs (eigene Clients oder getrennte Redirect-Listen).
- Sie wissen, ob Anmeldung nur im Browser läuft oder auch ein Server (Session-APIs, Secret usw.) nötig ist.
- HTTPS ist für die Produktion geplant.
1. Anwendung registrieren
Legen Sie einen OAuth/OIDC-ähnlichen Client an und dokumentieren Sie sicher:
- Client-ID — öffentliche Kennung (in Front-End-Code bei öffentlichen Clients unkritisch).
- Client-Secret — nur bei vertraulichen (serverseitigen) Clients. Niemals im Browser oder in App-Binärdateien.
- Redirect-/Login-URIs — exakte URLs, zu denen Intastellar den Nutzer zurückschicken darf. Tippfehler erzeugen die Fehler, die alle dem „Login-Server“ zuschreiben. Siehe Redirect-URIs und Callbacks.
2. Flow wählen (verständlich)
| Ihre App | Praktischer Ansatz |
|---|---|
| React | @intastellar/signin-sdk-react — React und JavaScript. |
| Vanilla JS (statische Site) | Plain HTML, CSS und JavaScript. |
| SPA (eigen, kein SDK) | Authorization Code mit PKCE; kein Client-Secret im Browser. |
| Klassische Server-Site | Browser schließt Redirect ab; Ihr Server tauscht den Code (oft mit Client-Secret). |
| Mobil / nativ | PKCE, Custom-Schema oder HTTPS-Redirect. |
Details: Authorization-Code-Flow, SPAs und JavaScript-Clients, Serverseitiger Austausch.
3. Endpunkte und Metadaten
Registrierung oder technische Referenz sollten nennen (oder per Discovery verlinken):
- Authorization-Endpunkt — wo sich der Nutzer anmeldet (Code-Flow).
- Token-Endpunkt — wo der Code gegen Tokens getauscht wird.
- Issuer / JWKS — zur Validierung von ID-Tokens (OpenID Connect).
Artikel nutzen Platzhalter wie AUTHORIZATION_ENDPOINT und TOKEN_ENDPOINT, bis Sie Ihre echten Werte einsetzen.
4. Wie Ihre Site sich den Nutzer merkt
- HttpOnly-Session-Cookies vom Server (typisch klassische Apps).
- Opake Session-ID plus serverseitiger Store.
- Kurzlebiger Access-Token im Speicher für SPAs, mit BFF (Backend-for-Frontend) wenn möglich.
Beim SDK können First-Party-Cookies auf Ihrer Domain gesetzt werden; kombinieren Sie das mit eigener Session bei servergerenderten Seiten — Sitzungen, Cookies und Tokens.
Häufige Fragen
Wir wollen nur einen „Mit Intastellar anmelden“-Button
Nutzen Sie die Handbücher React oder reines HTML/JS oben; dort ist der Popup-Flow beschrieben.
„Invalid redirect“, bevor sich jemand anmeldet
Registrierungsproblem. Öffnen Sie Redirect-URIs und Callbacks und vergleichen Sie Zeichen für Zeichen mit dem, was Ihre App sendet.
Wo lebt das Client-Secret?
Nur auf Servern, die Sie kontrollieren, aus Umgebung oder Secret-Manager — Serverseitig (vertrauliche Clients).
Nächste Schritte
- Authorization-Code-Flow — eigene Authorize-URL, Callback, Token-
POST. - Abmelden, Fehler und Fehlersuche — wenn es „fast funktioniert“.
Last updated