Logout (o que limpar)
- Limpe sua sessão — apague ou invalide o cookie de sessão da sua aplicação e o registro de sessão no servidor.
- Logout no IdP (recomendado quando disponível) — se a Intastellar fornecer URL de end-session ou logout, redirecione o usuário para lá com os parâmetros da sua referência de integração (
id_token_hint,post_logout_redirect_uri,client_id, etc.) para limpar cookies SSO no domínio de identidade. - URL de retorno — depois que o logout terminar, leve o usuário a uma página pública do seu site.
Sem o passo 2, o usuário pode ainda estar logado na Intastellar e receber um login silencioso no próximo redirect de authorize.
Erros comuns em authorize
error (típico) | Significado |
|---|---|
invalid_request | Parâmetro ausente ou inválido (por exemplo redirect_uri ruim). |
unauthorized_client | Cliente não permitido para este fluxo ou escopo. |
access_denied | Usuário cancelou ou bloqueou o consentimento. |
invalid_scope | Escopo pedido não permitido para o cliente. |
Sempre mostre uma mensagem segura ao usuário e registre error_description no servidor para o time.
Erros comuns no token
error | Significado |
|---|---|
invalid_grant | Código expirado, já usado ou incompatibilidade de redirect_uri / PKCE. |
invalid_client | client_id / client_secret errados. |
invalid_request | Corpo malformado ou campo ausente. |
Códigos de autorização costumam ser uso único e de curta duração. Se o usuário enviar o callback duas vezes ou você repetir com o mesmo código, espere invalid_grant.
SDK React e JS puro (popup)
- Popup bloqueado — o SDK abre uma nova janela; navegadores podem bloquear. Permita popups para a sua origem, ou use um fluxo que não dependa de
window.opense o produto permitir. - Ainda “logado” depois do logout no portal — cookies de terceiros ou sessão no IdP podem fazer
getUsers()retornar usuário até logout no IdP ou limpeza de cookies; veja Sessões, cookies e tokens.
Checklist de solução de problemas
- URI de redirect bate com o valor registrado exatamente (esquema, host, caminho, sem query extra).
statebate com o valor que você guardou para esta tentativa.- PKCE: mesmo
code_verifierque gerou ocode_challengeenviado. - Diferença de relógio: hora do servidor correta para validação de
expem JWT. - CORS: chamadas ao endpoint de token a partir do navegador costumam falhar de propósito — use seu backend.
Detalhe do caminho feliz: Fluxo authorization code.
Perguntas frequentes
Usuário diz que o popup está em branco
Verifique bloqueadores de popup, conteúdo misto (página http abrindo popup https com problemas) e erros no console. Garanta que sua página envia iframe-token-received de volta ao popup quando for obrigatório — HTML, CSS e JavaScript puros.
“Invalid grant” sempre
Veja erros de token acima — em geral uso duplo do código ou incompatibilidade de redirect_uri na hora da troca.
Só queremos sair do nosso app, não da Intastellar
Você pode limpar só sua sessão (passo 1). Saiba que o usuário pode voltar a parecer logado rápido no próximo redirect da Intastellar — pode ser o que você quer, ou não.
Last updated