Afmelden (wat je wist)
- Wis je sessie — verwijder of invalideer jouw applicatiesessiecookie en server-side sessierecord.
- IdP-logout (aanbevolen indien beschikbaar) — als Intastellar een end-session- of logout-URL biedt, stuur de gebruiker daarheen met parameters uit je integratiereferentie (
id_token_hint,post_logout_redirect_uri,client_id, enz.) zodat SSO-cookies op het identity-domein worden gewist. - Return-URL — stuur de gebruiker na afmelden naar een publieke pagina op je site.
Zonder stap 2 kan de gebruiker nog bij Intastellar ingelogd zijn en krijg je bij de volgende authorize-redirect een stille aanmelding.
Veelvoorkomende authorize-fouten
error (typisch) | Betekenis |
|---|---|
invalid_request | Ontbrekende of ongeldige parameter (bijv. slechte redirect_uri). |
unauthorized_client | Client niet toegestaan voor deze flow of scope. |
access_denied | Gebruiker heeft geannuleerd of toestemming geblokkeerd. |
invalid_scope | Gevraagde scope niet toegestaan voor de client. |
Toon altijd een veilige boodschap aan de gebruiker en log error_description server-side voor je team.
Veelvoorkomende tokenfouten
error | Betekenis |
|---|---|
invalid_grant | Code verlopen, al gebruikt, of redirect_uri / PKCE-mismatch. |
invalid_client | Verkeerde client_id / client_secret. |
invalid_request | Malformed body of ontbrekend veld. |
Authorization codes zijn meestal eenmalig en kortlevend. Als de gebruiker de callback dubbel verstuurt of je opnieuw probeert met dezelfde code, verwacht je invalid_grant.
React-SDK en platte JS (pop-up)
- Pop-up geblokkeerd — de SDK opent een nieuw venster; browsers kunnen dat blokkeren. Sta pop-ups toe voor je origin, of gebruik een flow zonder
window.openals je product dat ondersteunt. - Nog “ingelogd” na portal-afmelding — third-party cookies of IdP-sessie kunnen ervoor zorgen dat
getUsers()nog een gebruiker teruggeeft tot IdP-logout of cookie-opschoning; zie Sessies, cookies en tokens.
Probleemoplossingschecklist
- Redirect-URI komt exact overeen met de geregistreerde waarde (schema, host, pad, geen extra query).
statekomt overeen met de waarde die je voor deze poging opsloeg.- PKCE: dezelfde
code_verifierdie de verzondencode_challengeopleverde. - Klokskew: servertijd correct voor JWT-
exp-validatie. - CORS: aanroepen van het token endpoint vanuit de browser falen vaak bij ontwerp — gebruik je backend.
Happy-path-detail: Authorization code flow.
Veelgestelde vragen
Gebruiker zegt dat de pop-up leeg is
Controleer pop-upblockers, mixed content (http-pagina die https-pop-up opent) en consolefouten. Zorg dat je pagina indien nodig iframe-token-received terugstuurt naar de pop-up — Platte HTML, CSS en JavaScript.
Elke keer “Invalid grant”
Zie tokenfouten hierboven — meestal dubbel gebruik van de code of redirect_uri-mismatch bij de exchange.
We willen alleen uit onze app uitloggen, niet uit Intastellar
Je kunt alleen je sessie wissen (stap 1). Wees je ervan bewust dat de gebruiker bij de volgende Intastellar-redirect snel weer ingelogd kan lijken — dat kan gewenst zijn, of niet.
Last updated