Déconnexion (quoi effacer)
- Effacer votre session — supprimer ou invalider le cookie de session de votre application et l’enregistrement de session côté serveur.
- Déconnexion IdP (recommandée lorsqu’elle est disponible) — si Intastellar fournit une URL end-session ou de déconnexion, redirigez-y l’utilisateur avec les paramètres de votre référence d’intégration (
id_token_hint,post_logout_redirect_uri,client_id, etc.) afin d’effacer les cookies SSO sur le domaine d’identité. - URL de retour — renvoyez l’utilisateur vers une page publique de votre site une fois la déconnexion terminée.
Sans l’étape 2, l’utilisateur peut encore être connecté à Intastellar et obtenir une connexion silencieuse à la prochaine redirection authorize.
Erreurs d’autorisation courantes
error (typique) | Signification |
|---|---|
invalid_request | Paramètre manquant ou invalide (par ex. mauvais redirect_uri). |
unauthorized_client | Client non autorisé pour ce flux ou ce scope. |
access_denied | L’utilisateur a annulé ou bloqué le consentement. |
invalid_scope | Scope demandé non autorisé pour le client. |
Affichez toujours un message sûr à l’utilisateur et enregistrez error_description côté serveur pour votre équipe.
Erreurs de jeton courantes
error | Signification |
|---|---|
invalid_grant | Code expiré, déjà utilisé, ou incompatibilité redirect_uri / PKCE. |
invalid_client | Mauvais client_id / client_secret. |
invalid_request | Corps mal formé ou champ manquant. |
Les codes d’autorisation sont en général à usage unique et à courte durée de vie. Si l’utilisateur soumet deux fois le rappel ou si vous réessayez avec le même code, attendez-vous à invalid_grant.
SDK React et JS brut (fenêtre contextuelle)
- Fenêtre contextuelle bloquée — le SDK ouvre une nouvelle fenêtre ; les navigateurs peuvent la bloquer. Autorisez les fenêtres contextuelles pour votre origine, ou utilisez un flux qui ne repose pas sur
window.opensi votre produit le prend en charge. - Toujours « connecté » après déconnexion du portail — les cookies tiers ou la session IdP peuvent faire que
getUsers()renvoie un utilisateur jusqu’à la déconnexion IdP ou le nettoyage des cookies ; voir Sessions, cookies et jetons.
Liste de contrôle de dépannage
- URI de redirection correspond exactement à la valeur enregistrée (schéma, hôte, chemin, pas de requête en trop).
statecorrespond à la valeur stockée pour cette tentative.- PKCE : même
code_verifierque celui qui a produit lecode_challengeenvoyé. - Décalage d’horloge : heure serveur correcte pour la validation JWT
exp. - CORS : les appels au point de terminaison de jeton depuis le navigateur échouent souvent par conception — utilisez votre backend.
Détail du chemin nominal : Flux du code d’autorisation.
Questions fréquentes
L’utilisateur dit que la fenêtre contextuelle est vide
Vérifiez les bloqueurs de fenêtres contextuelles, le contenu mixte (page http ouvrant des problèmes de fenêtre contextuelle https) et les erreurs de la console. Assurez-vous que votre page envoie iframe-token-received à la fenêtre contextuelle lorsque c’est requis — HTML, CSS et JavaScript bruts.
« Invalid grant » à chaque fois
Voir les erreurs de jeton ci-dessus — en général double utilisation du code ou incompatibilité redirect_uri au moment de l’échange.
Nous voulons seulement nous déconnecter de notre application, pas d’Intastellar
Vous pouvez effacer uniquement votre session (étape 1). Sachez que l’utilisateur peut réapparaître connecté rapidement à la prochaine redirection Intastellar — cela peut être ce que vous voulez, ou non.
Last updated