Denk in drie lagen: door Intastellar gehost (login-UI), de origin van jouw site (SDK of jouw sessie) en jouw backend (opaque sessies, verificatie).
Op de origin van jouw site
Als je @intastellar/signin-sdk-react of een vanilla-flow gebruikt die daarmee overeenkomt, kan aanmelden first-party-cookies zetten zodat de browser de gebruiker onthoudt. Exacte namen en regels staan in de SDK en de technische referentie van Intastellar (npm readme, Platte HTML, CSS en JavaScript) — ga er niet van uit dat ze gelijk zijn aan een ander project.
Behandel die cookies als door de SDK beheerd tenzij Intastellar anders documenteert.
Je eigen sessiecookie (aanbevolen als je een backend hebt)
- Opaque session id in een HttpOnly-, Secure-cookie, met
SameSitepassend bij je topologie. - Server-side store die die id koppelt aan user id, verloop en refresh-afhandeling.
- Maak die sessie alleen aan of vernieuw hem nadat je server het aanmeldresultaat vertrouwt (tokenvalidatie volgens je technische referentie of runbook).
Zie Intastellar Sign-In — React en JavaScript voor een hoog niveau “optionele serversessie” met voorbeeld-URL’s alleen.
Op door Intastellar beheerde hosts
Terwijl de gebruiker zich bij Intastellar aanmeldt, kan de identity host eigen cookies zetten (SSO, sessie). Die zijn niet leesbaar vanuit JavaScript op jouw origin. Vertrouw op tokens, jouw sessie of de SDK, niet op het uitlezen van IdP-cookies cross-site.
ID token versus access token
Als je OAuth-achtige token-antwoorden gebruikt (handmatige codeflow):
- ID token — JWT over het authenticatiegebeuren; valideer
iss,aud,exp, handtekening (ennonceindien gebruikt). - Access token — API’s aanroepen; behandel als opaque tenzij je het moet parsen.
Afmelden
Wis jouw sessie en volg SDK- / Intastellar-richtlijnen voor afmelden. Als een end-session-URL beschikbaar is, leidt redirecten daarheen SSO-cookies op het identity-domein uit. Zie Afmelden, fouten en probleemoplossing.
Veelgestelde vragen
Waarom ben ik nog “ingelogd” nadat we onze cookie hebben gewist?
Intastellar kan nog een SSO-sessie hebben. Je hebt mogelijk IdP-logout (end-session-URL) nodig — Afmelden, fouten en probleemoplossing.
Kunnen we Intastellar-cookies vanuit JavaScript lezen?
Nee — andere site; vertrouw op je integratie (tokens / SDK / jouw sessie).
Volgende
- SPA’s en JavaScript-clients — PKCE en wanneer je geen secret in de browser gebruikt.
- Server-side (vertrouwelijke) clients — code inwisselen zonder secrets bloot te geven.
Last updated