Pensez en trois couches : hébergé par Intastellar (interface de connexion), origine de votre site (SDK ou votre session) et votre backend (sessions opaques, vérification).

Sur l’origine de votre site

Lorsque vous utilisez @intastellar/signin-sdk-react ou un flux vanilla qui le reflète, la connexion peut définir des cookies first-party pour que le navigateur se souvienne de l’utilisateur. Les noms et règles exacts sont définis par le SDK et la référence technique d’Intastellar (readme npm, HTML, CSS et JavaScript bruts) — ne supposez pas qu’ils correspondent à un autre projet.

Traitez ces cookies comme gérés par le SDK sauf indication contraire dans la référence technique Intastellar.

Votre propre cookie de session (recommandé lorsque vous avez un backend)

1. Identifiant de session opaque dans un cookie HttpOnly, Secure, avec SameSite adapté à votre topologie.
2. Stockage côté serveur associant cet identifiant à l’identifiant utilisateur, l’expiration et la gestion du rafraîchissement.
3. Créer ou rafraîchir cette session uniquement après que votre serveur fait confiance au résultat de la connexion (validation des jetons selon votre référence technique ou votre runbook).

Voir Intastellar Sign-In — React et JavaScript pour un modèle de haut niveau « session serveur optionnelle » avec des URL d’exemple uniquement.

Sur les hôtes contrôlés par Intastellar

Pendant que l’utilisateur se connecte chez Intastellar, l’hôte d’identité peut définir ses propres cookies (SSO, session). Ils ne sont pas lisibles depuis le JavaScript de votre origine. Appuyez-vous sur les jetons, votre session ou le SDK, pas sur la lecture des cookies IdP entre sites.

Jeton d’ID vs jeton d’accès

Lorsque vous utilisez des réponses de jeton de type OAuth (flux de code manuel) :

• Jeton d’ID — JWT sur l’événement d’authentification ; validez iss, aud, exp, la signature (et nonce si utilisé).
• Jeton d’accès — appeler des API ; traitez-le comme opaque sauf si vous devez l’analyser.

Déconnexion

Effacez votre session et suivez les indications SDK / Intastellar pour la déconnexion. Si une URL end-session est disponible, y rediriger efface les cookies SSO IdP sur le domaine d’identité. Voir Déconnexion, erreurs et dépannage.

Questions fréquentes

Pourquoi suis-je encore « connecté » après avoir effacé notre cookie ?

Intastellar peut encore avoir une session SSO. Vous pouvez avoir besoin d’une déconnexion IdP (URL end-session) également — Déconnexion, erreurs et dépannage.

Pouvons-nous lire les cookies Intastellar depuis JavaScript ?

Non — autre site ; appuyez-vous sur votre intégration (jetons / SDK / votre session).

Suite

• SPA et clients JavaScript — PKCE et quand ne pas utiliser de secret dans le navigateur.
• Clients côté serveur (confidentiels) — échange de code sans exposer les secrets.