Este artigo é o checklist que você usa antes de botões, popups e callbacks entrarem no ar. Se você já sabe que usa React ou HTML/JS puro, pode abrir esses manuais primeiro e voltar aqui para o que precisa registrar ou alinhar com o time.
Escolha seu caminho
| Você está construindo… | Comece aqui |
|---|---|
| React | Intastellar Sign-In — React e JavaScript — alinhado ao pacote npm. |
| HTML / CSS / JS puros | HTML, CSS e JavaScript puros. |
| Fluxo estilo OAuth personalizado (redirect + tokens no seu controle) | Fique nesta página e depois Fluxo authorization code. |
O que ter pronto (checklist)
- Alguém pode registrar (ou atualizar) seu app no fluxo de cliente Intastellar que a organização usa.
- Você sabe as URLs de produção vs staging (clientes separados ou listas de redirect separadas).
- Sabe se o login é só no navegador ou também precisa de servidor (APIs de sessão, secret etc.).
- HTTPS está previsto para produção (necessário para cookies e redirects seguros).
1. Registre sua aplicação
Crie um cliente estilo OAuth/OIDC e guarde com segurança:
- Client ID — identificador público (ok em código front-end para clientes públicos).
- Client secret — somente para clientes confidenciais (lado servidor). Nunca no navegador nem em binários de app.
- URIs de redirect / login — URLs exatas que a Intastellar pode usar ao devolver o usuário. Erros de digitação aqui geram os erros que todo mundo culpa o “servidor de login”. Veja URIs de redirecionamento e callbacks.
2. Escolha um fluxo (linguagem simples)
| Seu app | Abordagem prática |
|---|---|
| React | @intastellar/signin-sdk-react — React e JavaScript. |
| Vanilla JS (site estático) | HTML, CSS e JavaScript puros. |
| SPA (customizado, sem SDK) | Authorization code com PKCE; sem client secret no navegador. |
| Site clássico renderizado no servidor | O navegador termina o redirect; seu servidor troca o código (muitas vezes com client secret). |
| Mobile / nativo | PKCE, esquema customizado ou redirect HTTPS. |
Detalhes: Fluxo authorization code, SPAs e clientes JavaScript, Troca no servidor.
3. Endpoints e metadados
Seu registro ou a referência técnica da Intastellar deve listar (ou apontar para discovery de):
- Authorization endpoint — onde o usuário faz login (integrações com code flow).
- Token endpoint — onde o código é trocado por tokens.
- Issuer / JWKS — para validar ID tokens (OpenID Connect).
Os artigos usam placeholders como AUTHORIZATION_ENDPOINT e TOKEN_ENDPOINT até você substituir pelos seus valores reais.
4. Planeje como o seu site lembra o usuário
Defina como a sua origem mantém alguém logado:
- Cookies de sessão HttpOnly do seu servidor (apps clássicos típicos).
- ID de sessão opaco mais armazenamento no servidor.
- Access token de curta duração em memória para SPAs, com BFF (backend-for-frontend) quando possível.
Se você usa o SDK, ele pode definir cookies first-party no seu domínio; combine com a sua própria sessão se também servir páginas renderizadas no servidor — Sessões, cookies e tokens.
Perguntas frequentes
Só queremos um botão “Entrar com Intastellar”
Use os manuais React ou HTML/JS puro acima; eles descrevem o fluxo em popup que o visitante vê.
“Invalid redirect” antes de alguém sequer entrar
Problema de registro. Abra URIs de redirecionamento e callbacks e compare caractere por caractere com o que o app envia.
Onde fica o client secret?
Somente em servidores que você controla, carregado de variáveis de ambiente ou gerenciador de secrets — Clientes no servidor (confidenciais).
Próximos passos
- Fluxo authorization code — URL de authorize na mão, callback e
POSTde token. - Logout, erros e solução de problemas — quando algo já “quase funciona”.
Last updated