Mengakses API yang Dilindungi OAuth 2.0

OAuth 2.0 adalah kerangka kerja otorisasi yang memungkinkan pengguna memberikan izin kepada aplikasi pihak ketiga untuk mengakses layanan atas nama mereka, sehingga menghilangkan kebutuhan untuk memasukkan kredensial secara berulang sekaligus memastikan keamanan dan fleksibilitas.

Panduan ini menunjukkan cara men-debug API OAuth 2.0 menggunakan Apidog, dengan masuk menggunakan akun Google sebagai contoh praktis.

Memahami Alur OAuth 2.0

Dalam skenario OAuth 2.0 yang umum:

Klien: Situs web atau aplikasi Anda

Server Otorisasi: Layanan yang menyediakan autentikasi (misalnya, Google)

Server Sumber Daya: Layanan yang menghosting sumber daya yang dilindungi

Prasyarat

Sebelum menguji API OAuth 2.0, pastikan Anda memiliki:

Klien OAuth yang terdaftar pada server otorisasi (misalnya, Google API Console Project)

Kredensial Client ID dan client secret

URI pengalihan yang telah dikonfigurasi

Jika Anda belum mendaftarkan Google API Console Project, lihat dokumentasi resmi untuk membuat klien OAuth baru.

Alur Otorisasi OAuth 2.0

Langkah 1: Meminta Otorisasi Pengguna

Ketika pengguna mengeklik tombol "Sign in with Google", situs web Anda mengirimkan permintaan ke server otorisasi OAuth 2.0 Google untuk memperoleh izin mengakses akun Google pengguna.

Permintaan otorisasi dikirim ke https://accounts.google.com/o/oauth2/v2/auth/ dengan parameter berikut:

Parameter	Wajib	Deskripsi
`client_id`	Wajib	Client ID untuk aplikasi Anda dari halaman Kredensial API Console
`redirect_uri`	Wajib	Lokasi server API mengalihkan pengguna setelah otorisasi. Harus sama persis dengan salah satu URI pengalihan resmi dalam konfigurasi klien OAuth 2.0 Anda
`response_type`	Wajib	Atur ke `code` untuk aplikasi server web agar menerima kode otorisasi
`scope`	Wajib	Daftar scope yang dipisahkan spasi yang mengidentifikasi sumber daya yang dapat diakses aplikasi Anda atas nama pengguna
`access_type`	Direkomendasikan	`online` (default) atau `offline`. Gunakan `offline` jika aplikasi Anda perlu menyegarkan token akses ketika pengguna tidak hadir
`state`	Direkomendasikan	Nilai string apa pun untuk mempertahankan status antara permintaan otorisasi Anda dan respons server otorisasi

Tabel ini menunjukkan parameter dasar yang diperlukan oleh Google OAuth 2.0. Banyak parameter opsional lainnya tersedia untuk menyesuaikan pengalaman pengguna dan keamanan. Lihat dokumentasi resmi untuk detail lengkap.

Langkah 2: Pengguna Memberikan Otorisasi

Google menampilkan layar persetujuan yang meminta izin untuk mengakses sumber daya yang ditentukan.

Kemungkinan hasil:

Pengguna menyetujui: Google mengirimkan token otorisasi ke server web Anda

Pengguna menolak: Google mengirimkan pesan error ke server web Anda

Langkah 3: Menukar Kode Otorisasi dengan Token Akses

Setelah pengguna memberikan izin, kode otorisasi disertakan dalam respons. Respons muncul dalam query string:

# Error response
http://example.com/#error=access_denied&state=state_parameter_passthrough_value

# Success response
http://example.com/#state=state_parameter_passthrough_value&access_token=***&token_type=Bearer&expires_in=***&scope=email%20https://www.googleapis.com/auth/userinfo.email%20openid&authuser=0&prompt=consent

Ekstrak token akses dari URL untuk digunakan dengan layanan Google API lainnya.

Langkah 4: Mengakses Sumber Daya yang Dilindungi

Dengan menggunakan API Openidconnect sebagai contoh, Anda dapat mengakses informasi akun Google pengguna dengan mengirimkan permintaan yang menyertakan token akses.

Pengujian di Apidog:

Buat permintaan baru di proyek Apidog Anda

Gunakan URL: https://openidconnect.googleapis.com/v1/userinfo?access_token=ACCESS_TOKEN

Ganti ACCESS_TOKEN dengan token Anda yang sebenarnya

Klik Kirim

Mengirim permintaan dengan token akses di Apidog

Langkah 5: Menerima Informasi Pengguna

Google memverifikasi validitas token akses dan menentukan klien resmi yang terkait.

Kemungkinan hasil:

Token valid: Google merespons dengan informasi pengguna

Token tidak valid/kedaluwarsa: Google merespons dengan pesan error

Respons berhasil dengan informasi pengguna

Respons API adalah objek JSON yang berisi informasi akun Google pengguna, seperti picture dan email. Situs web Anda dapat menggunakan data ini untuk menampilkan profil pengguna secara otomatis tanpa entri manual.

Manfaat Menggunakan Apidog untuk Pengujian OAuth 2.0

Menggunakan Apidog untuk men-debug API OAuth 2.0 menyediakan:

Visibilitas yang jelas terhadap parameter yang diperlukan oleh proses upstream dan downstream

Pengalaman pengembangan yang dioptimalkan dengan manajemen parameter visual

Validasi alur kerja sebelum menulis kode

Pengurangan waktu debugging selama implementasi

Setelah alur kerja lengkap berhasil dijalankan di Apidog, pengembang backend dapat menulis kode dengan percaya diri untuk menyelesaikan proses bisnis tanpa perlu melakukan verifikasi saat mengembangkan.

Referensi

Dokumentasi Google OAuth 2.0

📄 Contoh Kode Sumber Halaman Web

HTML:

JavaScript:

Mengakses API yang Dilindungi OAuth 2.0

Memahami Alur OAuth 2.0#

Prasyarat#

Alur Otorisasi OAuth 2.0#

Langkah 1: Meminta Otorisasi Pengguna#

Langkah 2: Pengguna Memberikan Otorisasi#

Langkah 3: Menukar Kode Otorisasi dengan Token Akses#

Langkah 4: Mengakses Sumber Daya yang Dilindungi#

Langkah 5: Menerima Informasi Pengguna#

Manfaat Menggunakan Apidog untuk Pengujian OAuth 2.0#

Referensi#

Memahami Alur OAuth 2.0

Prasyarat

Alur Otorisasi OAuth 2.0

Langkah 1: Meminta Otorisasi Pengguna

Langkah 2: Pengguna Memberikan Otorisasi

Langkah 3: Menukar Kode Otorisasi dengan Token Akses

Langkah 4: Mengakses Sumber Daya yang Dilindungi

Langkah 5: Menerima Informasi Pengguna

Manfaat Menggunakan Apidog untuk Pengujian OAuth 2.0

Referensi