Sessões, cookies e tokens · Intastellar Help

Pense em três camadas: hospedado pela Intastellar (UI de login), origem do seu site (SDK ou sua sessão) e seu backend (sessões opacas, verificação).

Na origem do seu site

Quando você usa @intastellar/signin-sdk-react ou um fluxo vanilla que espelha isso, o login pode definir cookies first-party para o navegador lembrar o usuário. Nomes e regras exatos estão na referência técnica do SDK e da Intastellar (readme do npm, HTML, CSS e JavaScript puros) — não assuma que batem com outro projeto.

Trate esses cookies como gerenciados pelo SDK salvo documentação em contrário da Intastellar.

ID de sessão opaco em cookie HttpOnly, Secure, com SameSite adequado à sua topologia.
Armazenamento no servidor mapeando esse id a user id, expiração e tratamento de refresh.
Crie ou renove essa sessão só depois que o servidor confiar no resultado do login (validação de token conforme sua referência técnica ou runbook).

Veja Intastellar Sign-In — React e JavaScript para um padrão de alto nível de “sessão opcional no servidor” usando apenas URLs de exemplo.

Em hosts controlados pela Intastellar

Enquanto o usuário entra na Intastellar, o host de identidade pode definir próprios cookies (SSO, sessão). Eles não são legíveis pelo JavaScript da sua origem. Confie em tokens, sua sessão ou o SDK, não em ler cookies do IdP entre sites.

ID token vs access token

Quando você usa respostas token estilo OAuth (fluxo manual de código):

ID token — JWT sobre o evento de autenticação; valide iss, aud, exp, assinatura (e nonce se usado).
Access token — chamar APIs; trate como opaco salvo se precise analisar.

SPAs e clientes JavaScript — PKCE e quando não usar secret no navegador.
Clientes no servidor (confidenciais) — troca de código sem expor secrets.

Last updated Apr 7, 2026

Na origem do seu site

Em hosts controlados pela Intastellar

ID token vs access token

Logout

Perguntas frequentes

Dá para ler cookies da Intastellar via JavaScript?

Próximo