Sign-in via Koder ID

Diagrama de steps

1. 1

   Usuário toca KoderSignInButton

   Usuário

   De uma tela guest, uma tela auth-gated, ou do menu de conta.

   ↓
2. 2

   SDK abre OIDC authorize

   SDK

   Monta a URL authorize com PKCE e o redirect_uri registrado; abre o browser do sistema (ou aba in-app no mobile).

   ↓
3. 3

   Servidor resolve o identifier

   Servidor

   Bare username expande pra <local>@<tenant_default_domain>; @ explícito é literal; fallback handle se email lookup falhar. Timing-safe.

   specs/identity/login-resolution.kmd

   ↓
4. 4

   Usuário autentica

   Usuário

   Senha, passkey ou cookie já-logado. Pode exigir confirmação de email se a conta for fresca.

   ↓
5. 5

   Servidor redireciona com code

   Servidor

   Browser bate em /auth/callback?code=...&state=...; SDK valida state, troca o code por tokens.

   ↓
6. 6

   App recebe o objeto user

   App

   Tokens persistem no secure store da plataforma; a tela original rebuilda com o novo auth context.

Pitfalls comuns

• ⚠ Guardar o access token em localStorage em vez do secure store da plataforma — vaza entre origens em devices compartilhados.
• ⚠ Pular a validação de state no callback — abre porta pra CSRF no auth code.
• ⚠ Mandar o redirect OIDC pra um host não-canônico (app.<produto>.koder.dev) — quebra todo callback registrado pra <produto>.koder.dev.

Fluxos relacionados