Drei Ebenen: bei Intastellar gehostet (Login-UI), Ihre Site-Origin (SDK oder eigene Session), Ihr Backend (opake Sessions, Verifizierung).
Auf Ihrer Origin
Mit @intastellar/signin-sdk-react oder Vanilla-Flow können nach Anmeldung First-Party-Cookies gesetzt werden. Exakte Namen und Regeln stehen in SDK und technischer Referenz (npm-Readme, Plain HTML, CSS und JavaScript) — nicht von anderen Projekten übernehmen.
Diese Cookies als SDK-verwaltet behandeln, sofern nicht anders dokumentiert.
Eigenes Session-Cookie (empfohlen mit Backend)
- Opake Session-ID in HttpOnly, Secure-Cookie,
SameSitepassend zur Topologie. - Serverseitiger Store mit User-ID, Ablauf, Refresh.
- Session erst nach vertrauenswürdigem Anmeldeergebnis (Token-Validierung laut Referenz/Runbook).
Siehe Intastellar Sign-In — React und JavaScript für ein hohes Niveau „optionale Server-Session“ mit Beispiel-URLs.
Auf Intastellar-kontrollierten Hosts
Während der Login bei Intastellar läuft, kann der Identity-Host eigene Cookies setzen (SSO). Die sind aus JavaScript Ihrer Origin nicht lesbar. Verlassen Sie sich auf Tokens, Ihre Session oder das SDK, nicht auf cross-site IdP-Cookies.
ID-Token vs. Access-Token
Bei OAuth-Token-Antworten (manueller Code-Flow):
- ID-Token — JWT zum Anmeldevorgang;
iss,aud,exp, Signatur (undnoncefalls genutzt) prüfen. - Access-Token — API-Aufrufe; als opak behandeln, außer Sie müssen parsen.
Abmelden
Eigene Session leeren und SDK-/Intastellar-Hinweise zur Abmeldung befolgen. Gibt es eine End-Session-URL, leitet sie IdP-SSO-Cookies auf der Identity-Domain ab. Siehe Abmelden, Fehler und Fehlersuche.
Häufige Fragen
Warum noch „angemeldet“, nachdem wir unser Cookie gelöscht haben?
Intastellar kann noch eine SSO-Session haben — ggf. IdP-Logout (End-Session) nötig — Abmelden, Fehler und Fehlersuche.
Können wir Intastellar-Cookies per JavaScript lesen?
Nein — andere Site; Integration über Tokens / SDK / eigene Session.
Nächste Schritte
Last updated