Autentikasi API Key
Cara menggunakan API key untuk mengakses endpoint API.
API menggunakan dua jenis autentikasi:
- API key — untuk endpoint API biasa dan integrasi server/admin.
- User-session token — untuk endpoint
/me/*, diterbitkan lewatPOST /sessions.
API key dibuat dari dashboard WordPress melalui custom post type API Keys.
Format API Key
Format API key:
Contoh:
Header Authorization
Cara utama mengirim API key adalah melalui header Authorization:
Contoh:
Header X-Sejoli-Key
Alternatif lain, API key dapat dikirim melalui header X-Sejoli-Key:
Contoh:
Cara Validasi API Key
Saat request masuk, API akan:
- Step 1: Baca header
- Step 2: Cek format token
- Step 3: Cari API key
- Step 4: Verifikasi secret
- Step 5: Baca scopes
- Step 6: Cek scope endpoint
- Step 7: Update timestamp
User-session Token Untuk /me
Endpoint /me/* tidak memakai API key secara langsung. Endpoint tersebut memakai user-session token yang diterbitkan oleh:
POST /sessions sendiri tetap dilindungi API key dan membutuhkan scope sessions:write.
Setelah token diterbitkan, gunakan header:
Scope Wajib
Setiap endpoint membutuhkan scope tertentu. Contoh:
Jika scope tidak sesuai, API akan mengembalikan error:
Tips Keamanan
- Gunakan scope seminimal mungkin.
- Buat API key berbeda untuk setiap aplikasi/integrasi.
- Jangan menyimpan API key di frontend publik.
- Rotasi API key jika dicurigai bocor.
- Hapus API key yang sudah tidak digunakan.
Last updated Jul 6, 2026