Cet article est la liste de contrôle à utiliser avant que les boutons, les fenêtres contextuelles et les rappels ne soient en ligne. Si vous savez déjà que vous utilisez React ou HTML/JS brut, vous pouvez ouvrir ces articles en premier et revenir ici pour tout ce qu’il faut enregistrer ou valider avec votre équipe.
Choisir votre parcours
| Vous développez… | Par ici |
|---|---|
| React | Intastellar Sign-In — React et JavaScript — aligné sur le paquet npm. |
| HTML / CSS / JS bruts | HTML, CSS et JavaScript bruts. |
| Flux de type OAuth personnalisé (vos propres étapes de redirection et de jeton) | Restez sur cette page, puis Flux du code d’autorisation. |
Ce qu’il faut avoir prêt (liste de contrôle)
- Quelqu’un peut enregistrer (ou mettre à jour) votre application dans le flux client Intastellar utilisé par votre organisation.
- Vous connaissez les URL production vs préproduction (clients distincts ou listes de redirection distinctes).
- Vous savez si la connexion est uniquement dans le navigateur ou nécessite aussi un serveur (API de session, secret, etc.).
- HTTPS est prévu pour la production (requis pour des cookies et des redirections sûrs).
1. Enregistrer votre application
Créez un client de type OAuth/OIDC et conservez un enregistrement sûr de :
- Client ID — identifiant public (acceptable dans le code front-end pour les clients publics).
- Secret client — uniquement pour les clients confidentiels (côté serveur). Ne le mettez jamais dans le navigateur ni dans des binaires d’application.
- URI de redirection / de connexion — URL exactes qu’Intastellar peut utiliser au retour de l’utilisateur. Une faute de frappe ici provoque les erreurs que tout le monde impute au « serveur de connexion ». Voir URI de redirection et rappels.
2. Choisir un flux (langage simple)
| Votre application | Approche pratique |
|---|---|
| React | @intastellar/signin-sdk-react — React et JavaScript. |
| Vanilla JS (site statique) | HTML, CSS et JavaScript bruts. |
| SPA (personnalisée, sans SDK) | Code d’autorisation avec PKCE ; pas de secret client dans le navigateur. |
| Site classique rendu côté serveur | Le navigateur termine la redirection ; votre serveur échange le code (souvent avec un secret client). |
| Mobile / natif | PKCE, schéma personnalisé ou redirection HTTPS. |
Détails : Flux du code d’autorisation, SPA et JavaScript, Échange côté serveur.
3. Points de terminaison et métadonnées
Votre enregistrement ou la référence technique d’Intastellar doit lister (ou pointer vers la découverte pour) :
- Point de terminaison d’autorisation — où l’utilisateur se connecte (intégrations en flux de code).
- Point de terminaison de jeton — où le code est échangé contre des jetons.
- Émetteur / JWKS — pour valider les jetons d’ID (OpenID Connect).
Les articles utilisent des espaces réservés comme AUTHORIZATION_ENDPOINT et TOKEN_ENDPOINT jusqu’à ce que vous substituiez vos vraies valeurs.
4. Planifier comment votre site se souvient de l’utilisateur
Décidez comment votre origine maintient quelqu’un connecté :
- Cookies de session HttpOnly depuis votre serveur (applications classiques typiques).
- Identifiant de session opaque plus stockage côté serveur.
- Jeton d’accès à courte durée de vie en mémoire pour les SPA, avec un BFF (backend-for-frontend) lorsque c’est possible.
Si vous utilisez le SDK, il peut définir des cookies first-party sur votre domaine ; combinez cela avec votre propre session si vous servez aussi des pages rendues côté serveur — Sessions, cookies et jetons.
Questions fréquentes
Nous voulons seulement un bouton « Se connecter avec Intastellar »
Utilisez les manuels React ou HTML/JS brut ci-dessus ; ils décrivent le flux en fenêtre contextuelle que voient vos visiteurs.
« Invalid redirect » avant même que quelqu’un se connecte
Problème d’enregistrement. Ouvrez URI de redirection et rappels et comparez caractère par caractère avec ce que votre application envoie.
Où vit le secret client ?
Uniquement sur les serveurs que vous contrôlez, chargé depuis l’environnement ou un gestionnaire de secrets — Clients côté serveur (confidentiels).
Étapes suivantes
- Flux du code d’autorisation — URL d’autorisation
GETconstruite à la main, rappel etPOSTde jeton. - Déconnexion, erreurs et dépannage — quand quelque chose « presque fonctionne » déjà.
Last updated