INTASTELLAR SOLUTIONSHelp Center
Versionv1

Lorsque vous disposez d’un serveur de confiance (Node, .NET, PHP, etc.), effectuez l’échange de jeton là pour que le secret client n’atteigne jamais le navigateur.

Cela correspond aux configurations OAuth en code personnalisées que vous contrôlez. Les chemins SDK React et JS brut en fenêtre contextuelle sont distincts — Intastellar Sign-In — React et JavaScript.

Comment tout s’assemble

  1. Le navigateur termine le flux de redirection et arrive sur votre rappel avec code et state.
  2. Votre route de rappel vérifie state, puis appelle votre backend (ou s’exécute côté serveur dans la même requête) pour échanger le code.
  3. Le backend envoie un POST à TOKEN_ENDPOINT avec grant_type=authorization_code, code, redirect_uri, client_id et client_secret.
  4. Le backend crée une session pour l’utilisateur (définit un cookie, stocke les jetons côté serveur).
  5. Le navigateur est redirigé vers l’application avec uniquement le cookie de session votre (pas le secret).

Exemple (conceptuel)

POST TOKEN_ENDPOINT
Content-Type: application/x-www-form-urlencoded
 
grant_type=authorization_code
&code=AUTHORIZATION_CODE
&redirect_uri=https%3A%2F%2Fapp.example.com%2Fauth%2Fcallback
&client_id=YOUR_CLIENT_ID
&client_secret=YOUR_CLIENT_SECRET

Ajoutez les paramètres PKCE si ce client est configuré en hybride ou si l’étape d’autorisation a utilisé PKCE.

Stockage du secret

  • Chargez client_secret depuis les variables d’environnement ou un gestionnaire de secrets.
  • Faites tourner les secrets en cas d’exposition ; utilisez des identifiants distincts par environnement.

Questions fréquentes

Le front-end peut-il appeler l’URL de jeton avec le secret ?

Non. Tout ce qui est dans le navigateur peut être copié. Gardez le secret sur le serveur.

Nous utilisons PKCE dans le browser — utilisons-nous encore le secret ?

Cela dépend du type de client et de l’enregistrement. Si le navigateur a démarré le flux avec PKCE en tant que client public, l’échange peut ne pas utiliser de secret — confirmez dans votre console. Des configurations hybrides existent ; suivez votre référence technique.

Suite

Déconnexion, erreurs et dépannage.

Last updated